3551056 H3B323 2015 23 sou sou Statens offentliga utredningar 2015:23 Statens offentliga utredningar Statens offentliga utredningar 23 0 2015-03-10 00:00:00 2016-03-16 08:35:00 2015-03-10 00:00:00 Informations- och cybersäkerhet i Sverige titel html-ec https://data.riksdagen.se/dokument/H3B323/text https://data.riksdagen.se/dokument/H3B323 https://data.riksdagen.se/dokumentstatus/H3B323 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <HTML> <HEAD> <META http-equiv="Content-Type" content="text/html; charset=UTF-8"> <META http-equiv="X-UA-Compatible" content="IE=8"> <TITLE>sou 2015 23 </TITLE> <META name="generator" content="BCL easyConverter SDK 3.0.60"> <STYLE type="text/css"> body {margin-top: 0px;margin-left: 0px;} #page_1 {position:relative; overflow: hidden;margin: 193px 0px 73px 104px;padding: 0px;border: none;width: 576px;} #page_1 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_1 #id_2 {border:none;margin: 76px 0px 0px 370px;padding: 0px;border:none;width: 206px;overflow: hidden;} #page_1 #dimg1 {position:absolute;top:611px;left:344px;z-index:-1;width:126px;height:69px;} #page_1 #dimg1 #img1 {width:126px;height:69px;} #page_2 {position:relative; overflow: hidden;margin: 549px 0px 134px 160px;padding: 0px;border: none;width: 520px;} #page_3 {position:relative; overflow: hidden;margin: 75px 0px 138px 76px;padding: 0px;border: none;width: 548px;} #page_4 {position:relative; overflow: hidden;margin: 92px 0px 409px 127px;padding: 0px;border: none;width: 497px;} #page_5 {position:relative; overflow: hidden;margin: 75px 0px 66px 0px;padding: 0px;border: none;width: 624px;} #page_6 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_6 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_6 #id_2 {border:none;margin: 31px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_6 #id_3 {border:none;margin: 46px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_7 {position:relative; overflow: hidden;margin: 44px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_7 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_7 #id_2 {border:none;margin: 33px 0px 0px 409px;padding: 0px;border:none;width: 139px;overflow: hidden;} #page_8 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_8 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_8 #id_2 {border:none;margin: 31px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_8 #id_3 {border:none;margin: 50px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_9 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_9 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_9 #id_2 {border:none;margin: 41px 0px 0px 409px;padding: 0px;border:none;width: 139px;overflow: hidden;} #page_10 {position:relative; overflow: hidden;margin: 46px 0px 0px 66px;padding: 0px;border: none;width: 980px;} #page_10 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_10 #id_2 {border:none;margin: 31px 0px 0px 66px;padding: 0px;border:none;width: 914px;overflow: hidden;} #page_10 #id_3 {border:none;margin: 0px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_11 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_11 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_11 #id_2 {border:none;margin: 58px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_12 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_12 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_12 #id_2 {border:none;margin: 31px 0px 0px 66px;padding: 0px;border:none;width: 416px;overflow: hidden;} #page_12 #id_3 {border:none;margin: 444px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_13 {position:relative; overflow: hidden;margin: 75px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_14 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_14 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_14 #id_2 {border:none;margin: 39px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_15 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_15 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_15 #id_2 {border:none;margin: 35px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_16 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_16 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_16 #id_2 {border:none;margin: 59px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_17 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_17 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_17 #id_2 {border:none;margin: 73px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_18 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_18 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_18 #id_2 {border:none;margin: 147px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_19 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_19 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_19 #id_2 {border:none;margin: 89px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_20 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_20 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_20 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_20 #id_3 {border:none;margin: 244px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_21 {position:relative; overflow: hidden;margin: 75px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_22 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_22 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_22 #id_2 {border:none;margin: 85px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_23 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_23 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_23 #id_2 {border:none;margin: 43px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_24 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_24 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_24 #id_2 {border:none;margin: 36px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_25 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_25 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_25 #id_2 {border:none;margin: 40px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_26 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_26 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_26 #id_2 {border:none;margin: 98px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_27 {position:relative; overflow: hidden;margin: 91px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_28 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_28 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_28 #id_2 {border:none;margin: 31px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_28 #id_3 {border:none;margin: 56px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_29 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_29 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_29 #id_2 {border:none;margin: 41px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_30 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_30 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_30 #id_2 {border:none;margin: 56px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_31 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_31 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_31 #id_2 {border:none;margin: 117px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_32 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_32 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_32 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_32 #id_3 {border:none;margin: 90px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_33 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_33 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_33 #id_2 {border:none;margin: 326px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_33 #dimg1 {position:absolute;top:439px;left:0px;z-index:-1;width:69px;height:1px;font-size: 1px;line-height:nHeight;} #page_33 #dimg1 #img1 {width:69px;height:1px;} #page_34 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_34 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_34 #id_2 {border:none;margin: 31px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_34 #id_3 {border:none;margin: 344px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_34 #dimg1 {position:absolute;top:420px;left:66px;z-index:-1;width:70px;height:1px;font-size: 1px;line-height:nHeight;} #page_34 #dimg1 #img1 {width:70px;height:1px;} #page_35 {position:relative; overflow: hidden;margin: 75px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_36 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_36 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_36 #id_2 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_37 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_37 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_37 #id_2 {border:none;margin: 40px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_37 #dimg1 {position:absolute;top:135px;left:0px;z-index:-1;width:399px;height:273px;} #page_37 #dimg1 #img1 {width:399px;height:273px;} #page_38 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_38 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_38 #id_2 {border:none;margin: 41px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_39 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_39 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_39 #id_2 {border:none;margin: 42px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_40 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_40 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_40 #id_2 {border:none;margin: 55px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_41 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_41 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_41 #id_2 {border:none;margin: 50px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_42 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_42 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_42 #id_2 {border:none;margin: 30px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_43 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_43 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_43 #id_2 {border:none;margin: 48px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_43 #dimg1 {position:absolute;top:701px;left:0px;z-index:-1;width:415px;height:1px;font-size: 1px;line-height:nHeight;} #page_43 #dimg1 #img1 {width:415px;height:1px;} #page_44 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_44 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_44 #id_2 {border:none;margin: 349px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_45 {position:relative; overflow: hidden;margin: 91px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_46 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_46 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_46 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_47 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_47 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_47 #id_2 {border:none;margin: 61px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_48 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_48 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_48 #id_2 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_49 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_49 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_49 #id_2 {border:none;margin: 64px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_50 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_50 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_50 #id_2 {border:none;margin: 48px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_51 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_51 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_51 #id_2 {border:none;margin: 43px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_52 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_52 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_52 #id_2 {border:none;margin: 41px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_53 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_53 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_53 #id_2 {border:none;margin: 50px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_54 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_54 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_54 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_54 #id_3 {border:none;margin: 50px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_55 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_55 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_55 #id_2 {border:none;margin: 439px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_56 {position:relative; overflow: hidden;margin: 915px 0px 0px 0px;padding: 0px;border: none;width: 0px;height: 0px;} #page_57 {position:relative; overflow: hidden;margin: 75px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_58 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_58 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_58 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_58 #id_3 {border:none;margin: 44px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_59 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_59 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_59 #id_2 {border:none;margin: 37px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_60 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_60 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_60 #id_2 {border:none;margin: 39px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_61 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_61 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_61 #id_2 {border:none;margin: 59px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_62 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_62 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_62 #id_2 {border:none;margin: 36px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_63 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_63 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_63 #id_2 {border:none;margin: 59px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_64 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_64 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_64 #id_2 {border:none;margin: 43px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_65 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_65 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_65 #id_2 {border:none;margin: 41px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_66 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_66 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_66 #id_2 {border:none;margin: 49px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_67 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_67 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_67 #id_2 {border:none;margin: 60px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_68 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_68 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_68 #id_2 {border:none;margin: 45px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_69 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_69 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_69 #id_2 {border:none;margin: 48px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_70 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_70 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_70 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 421px;overflow: hidden;} #page_70 #id_3 {border:none;margin: 59px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_71 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_71 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_71 #id_2 {border:none;margin: 41px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_72 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_72 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_72 #id_2 {border:none;margin: 33px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_73 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_73 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_73 #id_2 {border:none;margin: 241px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_74 {position:relative; overflow: hidden;margin: 915px 0px 0px 0px;padding: 0px;border: none;width: 0px;height: 0px;} #page_75 {position:relative; overflow: hidden;margin: 75px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_76 {position:relative; overflow: hidden;margin: 46px 0px 66px 132px;padding: 0px;border: none;width: 492px;} #page_76 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_76 #id_2 {border:none;margin: 50px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_77 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_77 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_77 #id_2 {border:none;margin: 169px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_78 {position:relative; overflow: hidden;margin: 46px 0px 66px 132px;padding: 0px;border: none;width: 492px;} #page_78 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_78 #id_2 {border:none;margin: 48px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_79 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_79 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_79 #id_2 {border:none;margin: 51px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_80 {position:relative; overflow: hidden;margin: 46px 0px 66px 132px;padding: 0px;border: none;width: 492px;} #page_80 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_80 #id_2 {border:none;margin: 50px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_81 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_81 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_81 #id_2 {border:none;margin: 46px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_82 {position:relative; overflow: hidden;margin: 46px 0px 66px 132px;padding: 0px;border: none;width: 492px;} #page_82 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_82 #id_2 {border:none;margin: 32px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_83 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_83 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_83 #id_2 {border:none;margin: 42px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_84 {position:relative; overflow: hidden;margin: 46px 0px 66px 0px;padding: 0px;border: none;width: 624px;} #page_84 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 624px;overflow: hidden;} #page_84 #id_2 {border:none;margin: 32px 0px 0px 132px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_85 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_85 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_85 #id_2 {border:none;margin: 60px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_86 {position:relative; overflow: hidden;margin: 46px 0px 66px 132px;padding: 0px;border: none;width: 492px;} #page_86 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_86 #id_2 {border:none;margin: 33px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_87 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_87 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_87 #id_2 {border:none;margin: 28px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_88 {position:relative; overflow: hidden;margin: 46px 0px 66px 132px;padding: 0px;border: none;width: 492px;} #page_88 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_88 #id_2 {border:none;margin: 32px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_89 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_89 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_89 #id_2 {border:none;margin: 34px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_90 {position:relative; overflow: hidden;margin: 46px 0px 66px 132px;padding: 0px;border: none;width: 492px;} #page_90 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_90 #id_2 {border:none;margin: 43px 0px 0px 0px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_91 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_91 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_91 #id_2 {border:none;margin: 45px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_92 {position:relative; overflow: hidden;margin: 46px 0px 66px 0px;padding: 0px;border: none;width: 624px;} #page_92 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 553px;overflow: hidden;} #page_92 #id_2 {border:none;margin: 294px 0px 0px 132px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_93 {position:relative; overflow: hidden;margin: 75px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_94 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_94 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_94 #id_2 {border:none;margin: 47px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_95 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_95 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_95 #id_2 {border:none;margin: 45px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_96 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_96 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_96 #id_2 {border:none;margin: 36px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_97 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_97 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_97 #id_2 {border:none;margin: 60px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_98 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_98 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_98 #id_2 {border:none;margin: 50px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_99 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_99 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_99 #id_2 {border:none;margin: 34px 0px 0px 403px;padding: 0px;border:none;width: 145px;overflow: hidden;} #page_100 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_100 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_100 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 416px;overflow: hidden;} #page_100 #id_3 {border:none;margin: 45px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_101 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_101 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_101 #id_2 {border:none;margin: 50px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_102 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_102 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_102 #id_2 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_103 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_103 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_103 #id_2 {border:none;margin: 61px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_104 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_104 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_104 #id_2 {border:none;margin: 45px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_105 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_105 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_105 #id_2 {border:none;margin: 68px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_106 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_106 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_106 #id_2 {border:none;margin: 47px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_107 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_107 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_107 #id_2 {border:none;margin: 48px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_108 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_108 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_108 #id_2 {border:none;margin: 41px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_109 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_109 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_109 #id_2 {border:none;margin: 62px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_110 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_110 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_110 #id_2 {border:none;margin: 46px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_111 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_111 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_111 #id_2 {border:none;margin: 108px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_112 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_112 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_112 #id_2 {border:none;margin: 67px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_113 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_113 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_113 #id_2 {border:none;margin: 64px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_114 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_114 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_114 #id_2 {border:none;margin: 86px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_115 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_115 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_115 #id_2 {border:none;margin: 39px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_116 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_116 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_116 #id_2 {border:none;margin: 31px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_116 #id_3 {border:none;margin: 69px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_117 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_117 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_117 #id_2 {border:none;margin: 27px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_118 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_118 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_118 #id_2 {border:none;margin: 47px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_119 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_119 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_119 #id_2 {border:none;margin: 50px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_120 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_120 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_120 #id_2 {border:none;margin: 41px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_121 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_121 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_121 #id_2 {border:none;margin: 40px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_122 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_122 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_122 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 421px;overflow: hidden;} #page_122 #id_3 {border:none;margin: 52px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_123 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_123 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_123 #id_2 {border:none;margin: 243px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_124 {position:relative; overflow: hidden;margin: 915px 0px 0px 0px;padding: 0px;border: none;width: 0px;height: 0px;} #page_125 {position:relative; overflow: hidden;margin: 75px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_126 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_126 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_126 #id_2 {border:none;margin: 39px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_127 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_127 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_127 #id_2 {border:none;margin: 81px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_128 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_128 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_128 #id_2 {border:none;margin: 39px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_129 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_129 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_129 #id_2 {border:none;margin: 43px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_130 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_130 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_130 #id_2 {border:none;margin: 50px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_131 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_131 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_131 #id_2 {border:none;margin: 50px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_132 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_132 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_132 #id_2 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_133 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_133 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_133 #id_2 {border:none;margin: 50px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_134 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_134 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_134 #id_2 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_135 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_135 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_135 #id_2 {border:none;margin: 57px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_136 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_136 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_136 #id_2 {border:none;margin: 60px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_137 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_137 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_137 #id_2 {border:none;margin: 150px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_138 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_138 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_138 #id_2 {border:none;margin: 39px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_139 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_139 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_139 #id_2 {border:none;margin: 49px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_140 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_140 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_140 #id_2 {border:none;margin: 78px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_141 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_141 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_141 #id_2 {border:none;margin: 32px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_142 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_142 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_142 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 421px;overflow: hidden;} #page_142 #id_3 {border:none;margin: 34px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_143 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_143 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_143 #id_2 {border:none;margin: 54px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_144 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_144 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_144 #id_2 {border:none;margin: 83px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_145 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_145 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_145 #id_2 {border:none;margin: 75px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_146 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_146 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_146 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_146 #id_3 {border:none;margin: 40px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_147 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_147 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_147 #id_2 {border:none;margin: 40px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_148 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_148 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_148 #id_2 {border:none;margin: 50px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_149 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_149 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_149 #id_2 {border:none;margin: 50px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_150 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_150 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_150 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 421px;overflow: hidden;} #page_150 #id_3 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_151 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_151 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_151 #id_2 {border:none;margin: 50px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_152 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_152 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_152 #id_2 {border:none;margin: 50px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_153 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_153 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_153 #id_2 {border:none;margin: 41px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_154 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_154 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_154 #id_2 {border:none;margin: 47px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_155 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_155 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_155 #id_2 {border:none;margin: 41px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_156 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_156 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_156 #id_2 {border:none;margin: 50px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_157 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_157 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_157 #id_2 {border:none;margin: 74px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_158 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_158 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_158 #id_2 {border:none;margin: 39px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_159 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_159 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_159 #id_2 {border:none;margin: 125px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_160 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_160 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_160 #id_2 {border:none;margin: 48px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_161 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_161 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_161 #id_2 {border:none;margin: 32px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_162 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_162 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_162 #id_2 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_163 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_163 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_163 #id_2 {border:none;margin: 60px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_164 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_164 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_164 #id_2 {border:none;margin: 52px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_165 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_165 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_165 #id_2 {border:none;margin: 68px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_166 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_166 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_166 #id_2 {border:none;margin: 67px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_167 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_167 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_167 #id_2 {border:none;margin: 42px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_168 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_168 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_168 #id_2 {border:none;margin: 74px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_169 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_169 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_169 #id_2 {border:none;margin: 32px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_170 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_170 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_170 #id_2 {border:none;margin: 33px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_171 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_171 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_171 #id_2 {border:none;margin: 45px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_172 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_172 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_172 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 421px;overflow: hidden;} #page_172 #id_3 {border:none;margin: 41px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_173 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_173 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_173 #id_2 {border:none;margin: 43px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_174 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_174 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_174 #id_2 {border:none;margin: 123px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_175 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_175 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_175 #id_2 {border:none;margin: 39px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_176 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_176 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_176 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 421px;overflow: hidden;} #page_176 #id_3 {border:none;margin: 601px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_177 {position:relative; overflow: hidden;margin: 75px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_178 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_178 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_178 #id_2 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_179 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_179 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_179 #id_2 {border:none;margin: 42px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_180 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_180 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_180 #id_2 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_181 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_181 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_181 #id_2 {border:none;margin: 73px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_182 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_182 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_182 #id_2 {border:none;margin: 134px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_183 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_183 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_183 #id_2 {border:none;margin: 122px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_184 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_184 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_184 #id_2 {border:none;margin: 31px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_184 #id_3 {border:none;margin: 58px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_185 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_185 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_185 #id_2 {border:none;margin: 41px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_186 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_186 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_186 #id_2 {border:none;margin: 56px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_187 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_187 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_187 #id_2 {border:none;margin: 36px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_188 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_188 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_188 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 421px;overflow: hidden;} #page_188 #id_3 {border:none;margin: 33px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_189 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_189 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_189 #id_2 {border:none;margin: 60px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_190 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_190 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_190 #id_2 {border:none;margin: 50px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_191 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_191 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_191 #id_2 {border:none;margin: 105px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_192 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_192 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_192 #id_2 {border:none;margin: 41px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_193 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_193 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_193 #id_2 {border:none;margin: 50px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_194 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_194 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_194 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_194 #id_3 {border:none;margin: 130px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_195 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_195 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_195 #id_2 {border:none;margin: 40px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_196 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_196 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_196 #id_2 {border:none;margin: 31px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_196 #id_3 {border:none;margin: 47px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_197 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_197 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_197 #id_2 {border:none;margin: 50px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_198 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_198 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_198 #id_2 {border:none;margin: 55px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_199 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_199 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_199 #id_2 {border:none;margin: 47px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_200 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_200 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_200 #id_2 {border:none;margin: 47px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_201 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_201 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_201 #id_2 {border:none;margin: 55px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_202 {position:relative; overflow: hidden;margin: 915px 0px 0px 0px;padding: 0px;border: none;width: 0px;height: 0px;} #page_203 {position:relative; overflow: hidden;margin: 75px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_203 #dimg1 {position:absolute;top:231px;left:1px;z-index:-1;width:413px;height:48px;} #page_203 #dimg1 #img1 {width:413px;height:48px;} #page_204 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_204 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_204 #id_2 {border:none;margin: 31px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_204 #id_3 {border:none;margin: 61px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_205 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_205 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_205 #id_2 {border:none;margin: 36px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_206 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_206 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_206 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_206 #id_3 {border:none;margin: 48px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_207 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_207 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_207 #id_2 {border:none;margin: 102px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_208 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_208 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_208 #id_2 {border:none;margin: 44px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_209 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_209 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_209 #id_2 {border:none;margin: 186px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_210 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_210 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_210 #id_2 {border:none;margin: 37px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_210 #dimg1 {position:absolute;top:75px;left:68px;z-index:-1;width:413px;height:84px;} #page_210 #dimg1 #img1 {width:413px;height:84px;} #page_211 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_211 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_211 #id_2 {border:none;margin: 32px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_211 #dimg1 {position:absolute;top:395px;left:1px;z-index:-1;width:413px;height:48px;} #page_211 #dimg1 #img1 {width:413px;height:48px;} #page_212 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_212 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_212 #id_2 {border:none;margin: 41px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_213 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_213 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_213 #id_2 {border:none;margin: 32px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_214 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_214 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_214 #id_2 {border:none;margin: 43px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_215 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_215 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_215 #id_2 {border:none;margin: 31px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_215 #dimg1 {position:absolute;top:535px;left:1px;z-index:-1;width:413px;height:66px;} #page_215 #dimg1 #img1 {width:413px;height:66px;} #page_216 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_216 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_216 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_216 #id_3 {border:none;margin: 34px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_217 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_217 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_217 #id_2 {border:none;margin: 36px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_218 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_218 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_218 #id_2 {border:none;margin: 150px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_219 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_219 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_219 #id_2 {border:none;margin: 49px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_220 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_220 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_220 #id_2 {border:none;margin: 47px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_220 #dimg1 {position:absolute;top:552px;left:68px;z-index:-1;width:413px;height:48px;} #page_220 #dimg1 #img1 {width:413px;height:48px;} #page_221 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_221 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_221 #id_2 {border:none;margin: 112px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_222 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_222 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_222 #id_2 {border:none;margin: 45px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_223 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_223 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_223 #id_2 {border:none;margin: 46px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_224 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_224 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_224 #id_2 {border:none;margin: 40px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_225 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_225 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_225 #id_2 {border:none;margin: 58px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_226 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_226 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_226 #id_2 {border:none;margin: 114px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_227 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_227 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_227 #id_2 {border:none;margin: 34px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_227 #dimg1 {position:absolute;top:75px;left:1px;z-index:-1;width:413px;height:84px;} #page_227 #dimg1 #img1 {width:413px;height:84px;} #page_228 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_228 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_228 #id_2 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_229 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_229 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_229 #id_2 {border:none;margin: 122px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_230 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_230 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_230 #id_2 {border:none;margin: 104px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_230 #dimg1 {position:absolute;top:590px;left:68px;z-index:-1;width:413px;height:102px;} #page_230 #dimg1 #img1 {width:413px;height:102px;} #page_231 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_231 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_231 #id_2 {border:none;margin: 43px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_232 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_232 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_232 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_232 #id_3 {border:none;margin: 68px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_233 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_233 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_233 #id_2 {border:none;margin: 32px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_234 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_234 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_234 #id_2 {border:none;margin: 47px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_235 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_235 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_235 #id_2 {border:none;margin: 37px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_236 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_236 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_236 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_236 #id_3 {border:none;margin: 152px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_236 #dimg1 {position:absolute;top:327px;left:68px;z-index:-1;width:413px;height:318px;} #page_236 #dimg1 #img1 {width:413px;height:318px;} #page_237 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_237 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_237 #id_2 {border:none;margin: 57px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_238 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_238 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_238 #id_2 {border:none;margin: 41px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_239 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_239 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_239 #id_2 {border:none;margin: 50px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_240 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_240 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_240 #id_2 {border:none;margin: 50px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_241 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_241 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_241 #id_2 {border:none;margin: 42px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_242 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_242 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_242 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_243 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_243 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_243 #id_2 {border:none;margin: 62px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_243 #dimg1 {position:absolute;top:290px;left:1px;z-index:-1;width:413px;height:49px;} #page_243 #dimg1 #img1 {width:413px;height:49px;} #page_244 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_244 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_244 #id_2 {border:none;margin: 50px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_245 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_245 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_245 #id_2 {border:none;margin: 266px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_246 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_246 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_246 #id_2 {border:none;margin: 49px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_246 #dimg1 {position:absolute;top:107px;left:68px;z-index:-1;width:413px;height:175px;} #page_246 #dimg1 #img1 {width:413px;height:175px;} #page_247 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_247 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_247 #id_2 {border:none;margin: 78px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_248 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_248 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_248 #id_2 {border:none;margin: 49px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_249 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_249 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_249 #id_2 {border:none;margin: 41px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_250 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_250 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_250 #id_2 {border:none;margin: 50px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_251 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_251 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_251 #id_2 {border:none;margin: 59px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_252 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_252 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_252 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_252 #id_3 {border:none;margin: 45px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_253 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_253 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_253 #id_2 {border:none;margin: 117px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_254 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_254 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_254 #id_2 {border:none;margin: 44px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_254 #dimg1 {position:absolute;top:75px;left:68px;z-index:-1;width:413px;height:139px;} #page_254 #dimg1 #img1 {width:413px;height:139px;} #page_255 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_255 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_255 #id_2 {border:none;margin: 78px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_256 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_256 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_256 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 421px;overflow: hidden;} #page_256 #id_3 {border:none;margin: 338px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_257 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_257 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_257 #id_2 {border:none;margin: 36px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_257 #dimg1 {position:absolute;top:78px;left:1px;z-index:-1;width:413px;height:194px;} #page_257 #dimg1 #img1 {width:413px;height:194px;} #page_258 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_258 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_258 #id_2 {border:none;margin: 50px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_259 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_259 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_259 #id_2 {border:none;margin: 42px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_260 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_260 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_260 #id_2 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_261 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_261 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_261 #id_2 {border:none;margin: 42px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_262 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_262 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_262 #id_2 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_262 #dimg1 {position:absolute;top:377px;left:68px;z-index:-1;width:413px;height:66px;} #page_262 #dimg1 #img1 {width:413px;height:66px;} #page_263 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_263 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_263 #id_2 {border:none;margin: 51px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_263 #dimg1 {position:absolute;top:525px;left:1px;z-index:-1;width:413px;height:102px;} #page_263 #dimg1 #img1 {width:413px;height:102px;} #page_264 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_264 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_264 #id_2 {border:none;margin: 47px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_264 #dimg1 {position:absolute;top:362px;left:68px;z-index:-1;width:413px;height:84px;} #page_264 #dimg1 #img1 {width:413px;height:84px;} #page_265 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_265 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_265 #id_2 {border:none;margin: 56px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_266 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_266 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_266 #id_2 {border:none;margin: 44px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_266 #dimg1 {position:absolute;top:275px;left:68px;z-index:-1;width:413px;height:66px;} #page_266 #dimg1 #img1 {width:413px;height:66px;} #page_267 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_267 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_267 #id_2 {border:none;margin: 69px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_268 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_268 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_268 #id_2 {border:none;margin: 71px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_269 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_269 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_269 #id_2 {border:none;margin: 42px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_270 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_270 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_270 #id_2 {border:none;margin: 60px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_271 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_271 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_271 #id_2 {border:none;margin: 39px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_271 #dimg1 {position:absolute;top:322px;left:1px;z-index:-1;width:413px;height:84px;} #page_271 #dimg1 #img1 {width:413px;height:84px;} #page_272 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_272 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 488px;overflow: hidden;} #page_272 #id_2 {border:none;margin: 41px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_273 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_273 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_273 #id_2 {border:none;margin: 34px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_273 #dimg1 {position:absolute;top:453px;left:1px;z-index:-1;width:413px;height:84px;} #page_273 #dimg1 #img1 {width:413px;height:84px;} #page_274 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_274 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_274 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 421px;overflow: hidden;} #page_274 #id_3 {border:none;margin: 41px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_275 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_275 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_275 #id_2 {border:none;margin: 565px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_276 {position:relative; overflow: hidden;margin: 915px 0px 0px 0px;padding: 0px;border: none;width: 0px;height: 0px;} #page_277 {position:relative; overflow: hidden;margin: 75px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_278 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_278 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_278 #id_2 {border:none;margin: 144px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_279 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_279 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_279 #id_2 {border:none;margin: 121px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_280 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_280 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_280 #id_2 {border:none;margin: 38px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_281 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_281 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_281 #id_2 {border:none;margin: 140px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_282 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_282 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_282 #id_2 {border:none;margin: 33px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_283 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_283 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_283 #id_2 {border:none;margin: 35px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_284 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_284 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_284 #id_2 {border:none;margin: 32px 0px 0px 66px;padding: 0px;border:none;width: 416px;overflow: hidden;} #page_284 #id_3 {border:none;margin: 637px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_285 {position:relative; overflow: hidden;margin: 46px 0px 66px 0px;padding: 0px;border: none;width: 624px;} #page_285 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 624px;overflow: hidden;} #page_285 #id_2 {border:none;margin: 36px 0px 0px 473px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_286 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_286 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_286 #id_2 {border:none;margin: 38px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_287 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_287 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_287 #id_2 {border:none;margin: 48px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_288 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_288 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_288 #id_2 {border:none;margin: 68px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_289 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_289 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_289 #id_2 {border:none;margin: 104px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_290 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_290 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_290 #id_2 {border:none;margin: 175px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_291 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_291 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_291 #id_2 {border:none;margin: 37px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_292 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_292 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_292 #id_2 {border:none;margin: 53px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_293 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_293 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_293 #id_2 {border:none;margin: 89px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_294 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_294 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_294 #id_2 {border:none;margin: 138px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_295 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_295 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_295 #id_2 {border:none;margin: 248px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_296 {position:relative; overflow: hidden;margin: 915px 0px 0px 0px;padding: 0px;border: none;width: 0px;height: 0px;} #page_297 {position:relative; overflow: hidden;margin: 46px 0px 66px 0px;padding: 0px;border: none;width: 624px;} #page_297 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 624px;overflow: hidden;} #page_297 #id_2 {border:none;margin: 41px 0px 0px 473px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_298 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_298 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_298 #id_2 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_299 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_299 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_299 #id_2 {border:none;margin: 33px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_300 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_300 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_300 #id_2 {border:none;margin: 303px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_301 {position:relative; overflow: hidden;margin: 46px 0px 66px 0px;padding: 0px;border: none;width: 624px;} #page_301 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 624px;overflow: hidden;} #page_301 #id_2 {border:none;margin: 128px 0px 0px 473px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_302 {position:relative; overflow: hidden;margin: 915px 0px 0px 0px;padding: 0px;border: none;width: 0px;height: 0px;} #page_303 {position:relative; overflow: hidden;margin: 81px 0px 102px 0px;padding: 0px;border: none;width: 698px;} #page_303 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 698px;overflow: hidden;} #page_303 #id_2 {border:none;margin: 334px 0px 0px 510px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_303 #dimg1 {position:absolute;top:272px;left:121px;z-index:-1;width:437px;height:1px;font-size: 1px;line-height:nHeight;} #page_303 #dimg1 #img1 {width:437px;height:1px;} #page_304 {position:relative; overflow: hidden;margin: 81px 0px 102px 103px;padding: 0px;border: none;width: 595px;} #page_304 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_304 #id_2 {border:none;margin: 65px 0px 0px 38px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_304 #id_3 {border:none;margin: 97px 0px 0px 66px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_305 {position:relative; overflow: hidden;margin: 81px 0px 102px 113px;padding: 0px;border: none;width: 585px;} #page_305 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_305 #id_2 {border:none;margin: 68px 0px 0px 9px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_305 #id_3 {border:none;margin: 83px 0px 0px 397px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_305 #dimg1 {position:absolute;top:81px;left:4px;z-index:-1;width:445px;height:400px;} #page_305 #dimg1 #img1 {width:445px;height:400px;} #page_306 {position:relative; overflow: hidden;margin: 81px 0px 102px 103px;padding: 0px;border: none;width: 595px;} #page_306 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_306 #id_2 {border:none;margin: 67px 0px 0px 38px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_306 #id_3 {border:none;margin: 76px 0px 0px 66px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_306 #dimg1 {position:absolute;top:403px;left:33px;z-index:-1;width:445px;height:32px;} #page_306 #dimg1 #img1 {width:445px;height:32px;} #page_307 {position:relative; overflow: hidden;margin: 81px 0px 102px 113px;padding: 0px;border: none;width: 585px;} #page_307 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_307 #id_2 {border:none;margin: 67px 0px 0px 9px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_307 #id_3 {border:none;margin: 59px 0px 0px 397px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_307 #dimg1 {position:absolute;top:424px;left:4px;z-index:-1;width:445px;height:312px;} #page_307 #dimg1 #img1 {width:445px;height:312px;} #page_308 {position:relative; overflow: hidden;margin: 81px 0px 102px 103px;padding: 0px;border: none;width: 595px;} #page_308 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_308 #id_2 {border:none;margin: 66px 0px 0px 38px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_308 #id_3 {border:none;margin: 84px 0px 0px 66px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_308 #dimg1 {position:absolute;top:250px;left:33px;z-index:-1;width:445px;height:47px;} #page_308 #dimg1 #img1 {width:445px;height:47px;} #page_309 {position:relative; overflow: hidden;margin: 81px 0px 102px 113px;padding: 0px;border: none;width: 585px;} #page_309 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_309 #id_2 {border:none;margin: 67px 0px 0px 9px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_309 #id_3 {border:none;margin: 43px 0px 0px 397px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_309 #dimg1 {position:absolute;top:722px;left:9px;z-index:-1;width:138px;height:1px;font-size: 1px;line-height:nHeight;} #page_309 #dimg1 #img1 {width:138px;height:1px;} #page_310 {position:relative; overflow: hidden;margin: 81px 0px 102px 103px;padding: 0px;border: none;width: 595px;} #page_310 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_310 #id_2 {border:none;margin: 80px 0px 0px 38px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_310 #id_3 {border:none;margin: 71px 0px 0px 66px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_310 #dimg1 {position:absolute;top:102px;left:59px;z-index:-1;width:275px;height:215px;} #page_310 #dimg1 #img1 {width:275px;height:215px;} #page_311 {position:relative; overflow: hidden;margin: 81px 0px 102px 113px;padding: 0px;border: none;width: 585px;} #page_311 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_311 #id_2 {border:none;margin: 67px 0px 0px 9px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_311 #id_3 {border:none;margin: 43px 0px 0px 397px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_311 #dimg1 {position:absolute;top:274px;left:4px;z-index:-1;width:445px;height:448px;} #page_311 #dimg1 #img1 {width:445px;height:448px;} #page_312 {position:relative; overflow: hidden;margin: 81px 0px 102px 103px;padding: 0px;border: none;width: 595px;} #page_312 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_312 #id_2 {border:none;margin: 66px 0px 0px 38px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_312 #id_3 {border:none;margin: 42px 0px 0px 66px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_312 #dimg1 {position:absolute;top:710px;left:38px;z-index:-1;width:138px;height:1px;font-size: 1px;line-height:nHeight;} #page_312 #dimg1 #img1 {width:138px;height:1px;} #page_313 {position:relative; overflow: hidden;margin: 81px 0px 102px 113px;padding: 0px;border: none;width: 585px;} #page_313 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_313 #id_2 {border:none;margin: 67px 0px 0px 9px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_313 #id_3 {border:none;margin: 50px 0px 0px 397px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_314 {position:relative; overflow: hidden;margin: 81px 0px 102px 103px;padding: 0px;border: none;width: 595px;} #page_314 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_314 #id_2 {border:none;margin: 66px 0px 0px 38px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_314 #id_3 {border:none;margin: 44px 0px 0px 66px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_314 #dimg1 {position:absolute;top:367px;left:38px;z-index:-1;width:296px;height:367px;} #page_314 #dimg1 #img1 {width:296px;height:367px;} #page_315 {position:relative; overflow: hidden;margin: 81px 0px 102px 113px;padding: 0px;border: none;width: 585px;} #page_315 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_315 #id_2 {border:none;margin: 65px 0px 0px 9px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_315 #id_3 {border:none;margin: 53px 0px 0px 397px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_316 {position:relative; overflow: hidden;margin: 81px 0px 102px 103px;padding: 0px;border: none;width: 595px;} #page_316 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_316 #id_2 {border:none;margin: 67px 0px 0px 38px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_316 #id_3 {border:none;margin: 44px 0px 0px 66px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_316 #dimg1 {position:absolute;top:733px;left:38px;z-index:-1;width:138px;height:1px;font-size: 1px;line-height:nHeight;} #page_316 #dimg1 #img1 {width:138px;height:1px;} #page_317 {position:relative; overflow: hidden;margin: 81px 0px 102px 113px;padding: 0px;border: none;width: 585px;} #page_317 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_317 #id_2 {border:none;margin: 66px 0px 0px 9px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_317 #id_3 {border:none;margin: 237px 0px 0px 397px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_318 {position:relative; overflow: hidden;margin: 81px 0px 102px 103px;padding: 0px;border: none;width: 595px;} #page_318 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_318 #id_2 {border:none;margin: 65px 0px 0px 38px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_318 #id_3 {border:none;margin: 43px 0px 0px 66px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_318 #dimg1 {position:absolute;top:722px;left:38px;z-index:-1;width:138px;height:1px;font-size: 1px;line-height:nHeight;} #page_318 #dimg1 #img1 {width:138px;height:1px;} #page_319 {position:relative; overflow: hidden;margin: 81px 0px 102px 113px;padding: 0px;border: none;width: 585px;} #page_319 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_319 #id_2 {border:none;margin: 67px 0px 0px 9px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_319 #id_3 {border:none;margin: 42px 0px 0px 397px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_319 #dimg1 {position:absolute;top:675px;left:9px;z-index:-1;width:138px;height:1px;font-size: 1px;line-height:nHeight;} #page_319 #dimg1 #img1 {width:138px;height:1px;} #page_320 {position:relative; overflow: hidden;margin: 81px 0px 102px 103px;padding: 0px;border: none;width: 595px;} #page_320 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_320 #id_2 {border:none;margin: 66px 0px 0px 38px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_320 #id_3 {border:none;margin: 41px 0px 0px 66px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_320 #dimg1 {position:absolute;top:698px;left:38px;z-index:-1;width:138px;height:1px;font-size: 1px;line-height:nHeight;} #page_320 #dimg1 #img1 {width:138px;height:1px;} #page_321 {position:relative; overflow: hidden;margin: 81px 0px 102px 113px;padding: 0px;border: none;width: 585px;} #page_321 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_321 #id_2 {border:none;margin: 66px 0px 0px 9px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_321 #id_3 {border:none;margin: 44px 0px 0px 397px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_321 #dimg1 {position:absolute;top:710px;left:9px;z-index:-1;width:138px;height:1px;font-size: 1px;line-height:nHeight;} #page_321 #dimg1 #img1 {width:138px;height:1px;} #page_322 {position:relative; overflow: hidden;margin: 0px 0px 102px 0px;padding: 0px;border: none;width: 698px;} #page_322 #id_1 {border:none;margin: 80px 0px 0px 103px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_322 #id_2 {border:none;margin: 66px 0px 0px 141px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_322 #id_3 {border:none;margin: 96px 0px 0px 169px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_322 #dimg1 {position:absolute;top:0px;left:0px;z-index:-1;width:38px;height:38px;} #page_322 #dimg1 #img1 {width:38px;height:38px;} #page_323 {position:relative; overflow: hidden;margin: 81px 0px 102px 113px;padding: 0px;border: none;width: 585px;} #page_323 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_323 #id_2 {border:none;margin: 67px 0px 0px 9px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_323 #id_3 {border:none;margin: 77px 0px 0px 397px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_324 {position:relative; overflow: hidden;margin: 81px 0px 102px 103px;padding: 0px;border: none;width: 595px;} #page_324 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_324 #id_2 {border:none;margin: 66px 0px 0px 38px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_324 #id_3 {border:none;margin: 43px 0px 0px 66px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_324 #dimg1 {position:absolute;top:722px;left:38px;z-index:-1;width:138px;height:1px;font-size: 1px;line-height:nHeight;} #page_324 #dimg1 #img1 {width:138px;height:1px;} #page_325 {position:relative; overflow: hidden;margin: 81px 0px 102px 113px;padding: 0px;border: none;width: 585px;} #page_325 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_325 #id_2 {border:none;margin: 65px 0px 0px 9px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_325 #id_3 {border:none;margin: 96px 0px 0px 397px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_326 {position:relative; overflow: hidden;margin: 81px 0px 102px 103px;padding: 0px;border: none;width: 595px;} #page_326 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_326 #id_2 {border:none;margin: 66px 0px 0px 38px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_326 #id_3 {border:none;margin: 51px 0px 0px 66px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_327 {position:relative; overflow: hidden;margin: 81px 0px 102px 113px;padding: 0px;border: none;width: 585px;} #page_327 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_327 #id_2 {border:none;margin: 67px 0px 0px 9px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_327 #id_3 {border:none;margin: 73px 0px 0px 397px;padding: 0px;border:none;width: 188px;overflow: hidden;} #page_328 {position:relative; overflow: hidden;margin: 81px 0px 102px 103px;padding: 0px;border: none;width: 595px;} #page_328 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_328 #id_2 {border:none;margin: 67px 0px 0px 38px;padding: 0px;border:none;width: 557px;overflow: hidden;} #page_328 #id_3 {border:none;margin: 512px 0px 0px 66px;padding: 0px;border:none;width: 529px;overflow: hidden;} #page_329 {position:relative; overflow: hidden;margin: 46px 0px 66px 0px;padding: 0px;border: none;width: 624px;} #page_329 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 624px;overflow: hidden;} #page_329 #id_2 {border:none;margin: 39px 0px 0px 473px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_330 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_330 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_330 #id_2 {border:none;margin: 486px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_331 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_331 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_331 #id_2 {border:none;margin: 246px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_331 #dimg1 {position:absolute;top:78px;left:1px;z-index:-1;width:413px;height:102px;} #page_331 #dimg1 #img1 {width:413px;height:102px;} #page_332 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_332 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 558px;overflow: hidden;} #page_332 #id_2 {border:none;margin: 197px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_332 #dimg1 {position:absolute;top:46px;left:68px;z-index:-1;width:413px;height:169px;} #page_332 #dimg1 #img1 {width:413px;height:169px;} #page_333 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_333 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 548px;overflow: hidden;} #page_333 #id_2 {border:none;margin: 372px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_333 #dimg1 {position:absolute;top:46px;left:1px;z-index:-1;width:413px;height:120px;} #page_333 #dimg1 #img1 {width:413px;height:120px;} #page_334 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_334 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_334 #id_2 {border:none;margin: 38px 0px 0px 66px;padding: 0px;border:none;width: 416px;overflow: hidden;} #page_334 #id_3 {border:none;margin: 481px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_334 #dimg1 {position:absolute;top:46px;left:68px;z-index:-1;width:413px;height:48px;} #page_334 #dimg1 #img1 {width:413px;height:48px;} #page_335 {position:relative; overflow: hidden;margin: 46px 0px 66px 76px;padding: 0px;border: none;width: 548px;} #page_335 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 487px;overflow: hidden;} #page_335 #id_2 {border:none;margin: 336px 0px 0px 397px;padding: 0px;border:none;width: 151px;overflow: hidden;} #page_335 #dimg1 {position:absolute;top:46px;left:1px;z-index:-1;width:413px;height:174px;} #page_335 #dimg1 #img1 {width:413px;height:174px;} #page_336 {position:relative; overflow: hidden;margin: 46px 0px 66px 66px;padding: 0px;border: none;width: 558px;} #page_336 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 482px;overflow: hidden;} #page_336 #id_2 {border:none;margin: 38px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_336 #id_3 {border:none;margin: 587px 0px 0px 66px;padding: 0px;border:none;width: 492px;overflow: hidden;} #page_336 #dimg1 {position:absolute;top:46px;left:68px;z-index:-1;width:413px;height:102px;} #page_336 #dimg1 #img1 {width:413px;height:102px;} #page_337 {position:relative; overflow: hidden;margin: 98px 0px 134px 104px;padding: 0px;border: none;width: 576px;} #page_337 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_337 #id_2 {border:none;margin: 44px 0px 0px 0px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_337 #id_2 #id_2_1 {float:left;border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 216px;overflow: hidden;} #page_337 #id_2 #id_2_2 {float:left;border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 360px;overflow: hidden;} #page_337 #dimg1 {position:absolute;top:35px;left:0px;z-index:-1;width:415px;height:24px;} #page_337 #dimg1 #img1 {width:415px;height:24px;} #page_338 {position:relative; overflow: hidden;margin: 98px 0px 134px 104px;padding: 0px;border: none;width: 576px;} #page_338 #id_1 {border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_338 #id_2 {border:none;margin: 44px 0px 0px 0px;padding: 0px;border:none;width: 576px;overflow: hidden;} #page_338 #id_2 #id_2_1 {float:left;border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 215px;overflow: hidden;} #page_338 #id_2 #id_2_2 {float:left;border:none;margin: 0px 0px 0px 0px;padding: 0px;border:none;width: 361px;overflow: hidden;} #page_338 #dimg1 {position:absolute;top:35px;left:0px;z-index:-1;width:415px;height:24px;} #page_338 #dimg1 #img1 {width:415px;height:24px;} .dclr {clear:both;float:none;height:1px;margin:0px;padding:0px;overflow:hidden;} .ft0{font: 28px 'Arial';line-height: 32px;} .ft1{font: 20px 'Times New Roman';line-height: 30px;} .ft2{font: italic 16px 'Times New Roman';line-height: 19px;} .ft3{font: 12px 'Arial';line-height: 15px;} .ft4{font: 11px 'Times New Roman';line-height: 14px;} .ft5{font: italic 11px 'Times New Roman';line-height: 13px;} .ft6{font: 12px 'Times New Roman';line-height: 15px;} .ft7{font: 25px 'Arial';line-height: 28px;} .ft8{font: 15px 'Arial';line-height: 18px;} .ft9{font: 13px 'Arial';line-height: 18px;} .ft10{font: 15px 'Arial';line-height: 17px;} .ft11{font: 14px 'Arial';line-height: 16px;} .ft12{font: 13px 'Arial';line-height: 16px;} .ft13{font: 14px 'Arial';line-height: 18px;} .ft14{font: italic 13px 'Arial';line-height: 18px;} .ft15{font: italic 15px 'Arial';line-height: 17px;} .ft16{font: bold 15px 'Arial';line-height: 18px;} .ft17{font: 1px 'Arial';line-height: 1px;} .ft18{font: bold 13px 'Arial';line-height: 16px;} .ft19{font: 15px 'Arial';margin-left: 16px;line-height: 17px;} .ft20{font: bold 10px 'Arial';line-height: 12px;} .ft21{font: bold 11px 'Arial';line-height: 14px;} .ft22{font: 15px 'Arial';margin-left: 15px;line-height: 17px;} .ft23{font: 13px 'Arial';margin-left: 12px;line-height: 18px;} .ft24{font: 14px 'Arial';margin-left: 12px;line-height: 18px;} .ft25{font: 15px 'Arial';line-height: 0px;} .ft26{font: 2px 'Arial';line-height: 2px;} .ft27{font: 1px 'Arial';line-height: 0px;} .ft28{font: bold 15px 'Arial';line-height: 0px;} .ft29{font: bold 1px 'Arial';line-height: 0px;} .ft30{font: 15px 'Arial';margin-left: 166px;line-height: 0px;} .ft31{font: bold 10px 'Arial';line-height: 5px;} .ft32{font: 13px 'Times New Roman';line-height: 15px;} .ft33{font: bold 17px 'Arial';line-height: 19px;} .ft34{font: italic 14px 'Arial';line-height: 18px;} .ft35{font: italic 15px 'Arial';line-height: 18px;} .ft36{font: bold 9px 'Arial';line-height: 11px;} .ft37{font: 13px 'Arial';line-height: 19px;} .ft38{font: 14px 'Arial';line-height: 19px;} .ft39{font: bold 13px 'Arial';line-height: 18px;} .ft40{font: 25px 'Arial';line-height: 30px;} .ft41{font: 15px 'Symbol';line-height: 19px;} .ft42{font: 15px 'Arial';margin-left: 12px;line-height: 17px;} .ft43{font: italic 13px 'Arial';line-height: 16px;} .ft44{font: italic 15px 'Arial';margin-left: 8px;line-height: 18px;} .ft45{font: italic 15px 'Arial';margin-left: 7px;line-height: 18px;} .ft46{font: italic 15px 'Arial';margin-left: 7px;line-height: 17px;} .ft47{font: italic 15px 'Arial';margin-left: 8px;line-height: 17px;} .ft48{font: bold 17px 'Arial';margin-left: 35px;line-height: 19px;} .ft49{font: bold 15px 'Arial';line-height: 21px;} .ft50{font: bold 15px 'Arial';line-height: 19px;} .ft51{font: 15px 'Arial';margin-left: 3px;line-height: 17px;} .ft52{font: bold 13px 'Arial';line-height: 19px;} .ft53{font: 15px 'Arial';margin-left: 11px;line-height: 17px;} .ft54{font: 15px 'Arial';margin-left: 15px;line-height: 18px;} .ft55{font: 15px 'Arial';margin-left: 11px;line-height: 18px;} .ft56{font: 15px 'Arial';margin-left: 5px;line-height: 18px;} .ft57{font: 14px 'Arial';margin-left: 5px;line-height: 18px;} .ft58{font: 25px 'Arial';margin-left: 46px;line-height: 30px;} .ft59{font: 14px 'Arial';margin-left: 12px;line-height: 17px;} .ft60{font: 14px 'Arial';line-height: 17px;} .ft61{font: 15px 'Arial';margin-left: 12px;line-height: 18px;} .ft62{font: italic 13px 'Arial';line-height: 19px;} .ft63{font: bold 15px 'Arial';margin-left: 25px;line-height: 18px;} .ft64{font: 8px 'Arial';line-height: 10px;position: relative; bottom: 5px;} .ft65{font: 13px 'Arial';line-height: 15px;} .ft66{font: 12px 'Arial';line-height: 14px;} .ft67{font: 6px 'Arial';line-height: 6px;} .ft68{font: 11px 'Arial';margin-left: 3px;line-height: 12px;} .ft69{font: 11px 'Arial';line-height: 12px;} .ft70{font: 11px 'Arial';margin-left: 3px;line-height: 14px;} .ft71{font: 11px 'Arial';line-height: 14px;} .ft72{font: bold 17px 'Arial';margin-left: 35px;line-height: 20px;} .ft73{font: bold 17px 'Arial';line-height: 20px;} .ft74{font: italic 13px 'Arial';color: #ff0000;line-height: 18px;} .ft75{font: 15px 'Times New Roman';line-height: 17px;} .ft76{font: 15px 'Times New Roman';line-height: 18px;} .ft77{font: 15px 'Arial';margin-left: 8px;line-height: 18px;} .ft78{font: 15px 'Arial';margin-left: 8px;line-height: 17px;} .ft79{font: 15px 'Arial';margin-left: 7px;line-height: 17px;} .ft80{font: bold 15px 'Arial';margin-left: 35px;line-height: 21px;} .ft81{font: bold 13px 'Arial';margin-left: 25px;line-height: 16px;} .ft82{font: bold 17px 'Arial';margin-left: 38px;line-height: 20px;} .ft83{font: 15px 'Arial';margin-left: 7px;line-height: 18px;} .ft84{font: bold 15px 'Arial';margin-left: 16px;line-height: 18px;} .ft85{font: 13px 'Arial';line-height: 14px;} .ft86{font: 13px 'Arial';margin-left: 12px;line-height: 16px;} .ft87{font: 13px 'Arial';margin-left: 12px;line-height: 17px;} .ft88{font: 13px 'Arial';line-height: 17px;} .ft89{font: italic 14px 'Arial';line-height: 19px;} .ft90{font: 24px 'Arial';margin-left: 46px;line-height: 30px;} .ft91{font: 24px 'Arial';line-height: 30px;} .ft92{font: bold 8px 'Arial';line-height: 10px;} .ft93{font: 14px 'Arial';margin-left: 10px;line-height: 18px;} .ft94{font: 15px 'Arial';margin-left: 4px;line-height: 18px;} .ft95{font: 14px 'Arial';margin-left: 11px;line-height: 18px;} .ft96{font: 13px 'Arial';margin-left: 11px;line-height: 18px;} .ft97{font: 13px 'Arial';margin-left: 3px;line-height: 16px;} .ft98{font: 13px 'Arial';margin-left: 3px;line-height: 14px;} .ft99{font: 13px 'Arial';margin-left: 3px;line-height: 15px;} .ft100{font: 15px 'Arial';margin-left: 4px;line-height: 17px;} .ft101{font: bold 14px 'Arial';line-height: 19px;} .ft102{font: 15px 'Arial';margin-left: 6px;line-height: 18px;} .ft103{font: 16px 'Arial';line-height: 18px;} .ft104{font: 14px 'Arial';margin-left: 4px;line-height: 18px;} .ft105{font: bold 17px 'Arial';margin-left: 25px;line-height: 19px;} .ft106{font: 10px 'Georgia';line-height: 13px;} .ft107{font: 25px 'Cambria';line-height: 67px;} .ft108{font: bold 13px 'Cambria';line-height: 19px;} .ft109{font: bold 13px 'Cambria';line-height: 15px;} .ft110{font: 10px 'Calibri';line-height: 13px;} .ft111{font: 9px 'Symbol';line-height: 11px;} .ft112{font: 10px 'Calibri';margin-left: 13px;line-height: 15px;} .ft113{font: 10px 'Calibri';line-height: 15px;} .ft114{font: 10px 'Calibri';line-height: 14px;} .ft115{font: bold 12px 'Cambria';line-height: 17px;} .ft116{font: bold 12px 'Cambria';line-height: 14px;} .ft117{font: bold 10px 'Calibri';margin-left: 13px;line-height: 14px;} .ft118{font: bold 10px 'Calibri';margin-left: 13px;line-height: 15px;} .ft119{font: bold 10px 'Calibri';line-height: 15px;} .ft120{font: bold 10px 'Calibri';line-height: 14px;} .ft121{font: italic 10px 'Calibri';line-height: 15px;} .ft122{font: 7px 'Calibri';line-height: 11px;position: relative; bottom: 5px;} .ft123{font: 6px 'Calibri';line-height: 8px;} .ft124{font: 10px 'Calibri';margin-left: 2px;line-height: 13px;} .ft125{font: 1px 'Calibri';line-height: 1px;} .ft126{font: 9px 'Calibri';line-height: 11px;} .ft127{font: 9px 'Arial';line-height: 12px;} .ft128{font: 1px 'Calibri';line-height: 5px;} .ft129{font: 1px 'Calibri';line-height: 6px;} .ft130{font: 8px 'Calibri';line-height: 10px;} .ft131{font: 1px 'Calibri';line-height: 10px;} .ft132{font: 9px 'Arial';line-height: 10px;} .ft133{font: 9px 'Calibri';line-height: 10px;} .ft134{font: 8px 'Calibri';line-height: 12px;} .ft135{font: 9px 'Calibri';line-height: 12px;} .ft136{font: 10px 'Calibri';margin-left: 13px;line-height: 13px;} .ft137{font: 10px 'Symbol';line-height: 12px;} .ft138{font: 10px 'Calibri';margin-left: 12px;line-height: 13px;} .ft139{font: 10px 'Calibri';margin-left: 12px;line-height: 14px;} .ft140{font: 6px 'Calibri';line-height: 8px;position: relative; bottom: 5px;} .ft141{font: 7px 'Calibri';line-height: 10px;position: relative; bottom: 5px;} .ft142{font: 10px 'Calibri';margin-left: 2px;line-height: 12px;} .ft143{font: 10px 'Calibri';line-height: 12px;} .ft144{font: 10px 'Calibri';margin-left: 12px;line-height: 15px;} .ft145{font: bold 10px 'Cambria';line-height: 12px;} .ft146{font: 10px 'Calibri';margin-left: 10px;line-height: 12px;} .ft147{font: 10px 'Calibri';margin-left: 9px;line-height: 13px;} .ft148{font: 10px 'Calibri';margin-left: 10px;line-height: 13px;} .ft149{font: 10px 'Calibri';margin-left: 9px;line-height: 12px;} .ft150{font: 7px 'Calibri';line-height: 9px;position: relative; bottom: 5px;} .ft151{font: 10px 'Calibri';margin-left: 2px;line-height: 11px;} .ft152{font: 10px 'Calibri';line-height: 11px;} .ft153{font: 10px 'Calibri';margin-left: 1px;line-height: 13px;} .ft154{font: italic bold 10px 'Calibri';color: #222222;line-height: 13px;} .ft155{font: bold 10px 'Calibri';color: #222222;line-height: 13px;} .ft156{font: 10px 'Calibri';color: #222222;line-height: 13px;} .ft157{font: italic 10px 'Calibri';line-height: 13px;} .ft158{font: 10px 'Calibri';margin-left: 10px;line-height: 14px;} .ft159{font: bold 10px 'Calibri';line-height: 13px;} .ft160{font: 10px 'Calibri';margin-left: 9px;line-height: 15px;} .ft161{font: 10px 'Calibri';margin-left: 9px;line-height: 14px;} .ft162{font: 10px 'Calibri';margin-left: 10px;line-height: 15px;} .ft163{font: 10px 'Times New Roman';line-height: 12px;} .ft164{font: 11px 'Times New Roman';margin-left: 3px;line-height: 14px;} .ft165{font: 8px 'Times New Roman';line-height: 10px;} .ft166{font: 11px 'Times New Roman';margin-left: 4px;line-height: 14px;} .ft167{font: 11px 'Times New Roman';line-height: 13px;} .ft168{font: 11px 'Times New Roman';margin-left: 3px;line-height: 13px;} .ft169{font: 11px 'Times New Roman';margin-left: 2px;line-height: 14px;} .ft170{font: 11px 'Times New Roman';line-height: 16px;} .ft171{font: 11px 'Times New Roman';line-height: 15px;} .p0{text-align: left;padding-right: 207px;margin-top: 0px;margin-bottom: 0px;} .p1{text-align: left;padding-right: 219px;margin-top: 12px;margin-bottom: 0px;} .p2{text-align: left;margin-top: 411px;margin-bottom: 0px;} .p3{text-align: left;padding-left: 1px;margin-top: 29px;margin-bottom: 0px;} .p4{text-align: left;margin-top: 0px;margin-bottom: 0px;} .p5{text-align: left;margin-top: 3px;margin-bottom: 0px;} .p6{text-align: left;margin-top: 2px;margin-bottom: 0px;} .p7{text-align: left;padding-right: 152px;margin-top: 16px;margin-bottom: 0px;} .p8{text-align: left;margin-top: 1px;margin-bottom: 0px;} .p9{text-align: left;padding-right: 109px;margin-top: 1px;margin-bottom: 0px;} .p10{text-align: left;margin-top: 12px;margin-bottom: 0px;} .p11{text-align: left;margin-top: 16px;margin-bottom: 0px;} .p12{text-align: justify;padding-right: 132px;margin-top: 151px;margin-bottom: 0px;} .p13{text-align: justify;padding-right: 133px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p14{text-align: justify;padding-right: 132px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p15{text-align: justify;padding-right: 127px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p16{text-align: left;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p17{text-align: right;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p18{text-align: right;padding-right: 9px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p19{text-align: center;padding-right: 5px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p20{text-align: justify;padding-right: 127px;margin-top: 0px;margin-bottom: 0px;} .p21{text-align: justify;padding-left: 5px;padding-right: 76px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p22{text-align: justify;padding-left: 5px;padding-right: 75px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p23{text-align: left;padding-left: 24px;margin-top: 0px;margin-bottom: 0px;} .p24{text-align: left;padding-left: 24px;margin-top: 1px;margin-bottom: 0px;} .p25{text-align: right;padding-right: 75px;margin-top: 1px;margin-bottom: 0px;} .p26{text-align: left;padding-left: 5px;margin-top: 0px;margin-bottom: 0px;} .p27{text-align: left;padding-left: 5px;margin-top: 19px;margin-bottom: 0px;} .p28{text-align: left;padding-left: 5px;margin-top: 38px;margin-bottom: 0px;} .p29{text-align: left;padding-left: 305px;margin-top: 19px;margin-bottom: 0px;} .p30{text-align: left;padding-left: 311px;margin-top: 1px;margin-bottom: 0px;} .p31{text-align: left;padding-left: 76px;margin-top: 0px;margin-bottom: 0px;} .p32{text-align: left;padding-left: 13px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p33{text-align: justify;padding-left: 76px;margin-top: 10px;margin-bottom: 0px;} .p34{text-align: justify;padding-left: 76px;margin-top: 9px;margin-bottom: 0px;} .p35{text-align: left;padding-left: 16px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p36{text-align: right;padding-right: 1px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p37{text-align: left;padding-left: 6px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p38{text-align: right;padding-right: 132px;margin-top: 51px;margin-bottom: 0px;} .p39{text-align: left;padding-left: 15px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p40{text-align: justify;margin-top: 8px;margin-bottom: 0px;} .p41{text-align: left;padding-left: 34px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p42{text-align: left;padding-left: 75px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p43{text-align: right;padding-right: 72px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p44{text-align: justify;padding-left: 75px;padding-right: 166px;margin-top: 1px;margin-bottom: 0px;text-indent: -41px;} .p45{text-align: justify;margin-top: 9px;margin-bottom: 0px;} .p46{text-align: justify;margin-top: 10px;margin-bottom: 0px;} .p47{text-align: left;padding-left: 25px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p48{text-align: justify;margin-top: 11px;margin-bottom: 0px;} .p49{text-align: justify;padding-left: 76px;padding-right: 559px;margin-top: 1px;margin-bottom: 0px;text-indent: -42px;} .p50{text-align: justify;margin-top: 0px;margin-bottom: 0px;} .p51{text-align: left;padding-left: 9px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p52{text-align: right;padding-right: 40px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p53{text-align: left;margin-top: 151px;margin-bottom: 0px;} .p54{text-align: justify;padding-right: 132px;margin-top: 13px;margin-bottom: 0px;} .p55{text-align: left;padding-left: 18px;margin-top: 2px;margin-bottom: 0px;} .p56{text-align: left;padding-left: 18px;padding-right: 140px;margin-top: 1px;margin-bottom: 0px;} .p57{text-align: left;padding-left: 18px;margin-top: 0px;margin-bottom: 0px;} .p58{text-align: justify;padding-right: 132px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p59{text-align: justify;padding-right: 127px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p60{text-align: left;padding-left: 403px;margin-top: 191px;margin-bottom: 0px;} .p61{text-align: left;padding-left: 66px;margin-top: 31px;margin-bottom: 0px;} .p62{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 14px;margin-bottom: 0px;} .p63{text-align: left;padding-left: 66px;margin-top: 35px;margin-bottom: 0px;} .p64{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 13px;margin-bottom: 0px;} .p65{text-align: justify;padding-left: 66px;padding-right: 70px;margin-top: 13px;margin-bottom: 0px;} .p66{text-align: justify;padding-right: 132px;margin-top: 32px;margin-bottom: 0px;} .p67{text-align: left;margin-top: 34px;margin-bottom: 0px;} .p68{text-align: justify;padding-right: 127px;margin-top: 14px;margin-bottom: 0px;} .p69{text-align: left;margin-top: 35px;margin-bottom: 0px;} .p70{text-align: justify;padding-left: 66px;padding-right: 75px;margin-top: 32px;margin-bottom: 0px;} .p71{text-align: justify;padding-left: 66px;padding-right: 75px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p72{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p73{text-align: left;padding-left: 66px;margin-top: 34px;margin-bottom: 0px;} .p74{text-align: left;padding-left: 66px;margin-top: 12px;margin-bottom: 0px;} .p75{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 12px;margin-bottom: 0px;} .p76{text-align: justify;padding-right: 132px;margin-top: 20px;margin-bottom: 0px;} .p77{text-align: justify;padding-right: 133px;margin-top: 18px;margin-bottom: 0px;} .p78{text-align: justify;padding-right: 127px;margin-top: 18px;margin-bottom: 0px;} .p79{text-align: justify;padding-right: 132px;margin-top: 14px;margin-bottom: 0px;} .p80{text-align: left;padding-right: 164px;margin-top: 35px;margin-bottom: 0px;} .p81{text-align: left;margin-top: 11px;margin-bottom: 0px;} .p82{text-align: justify;padding-right: 128px;margin-top: 12px;margin-bottom: 0px;} .p83{text-align: justify;padding-right: 127px;margin-top: 19px;margin-bottom: 0px;} .p84{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 18px;margin-bottom: 0px;} .p85{text-align: left;padding-left: 66px;margin-top: 11px;margin-bottom: 0px;} .p86{text-align: justify;padding-left: 66px;padding-right: 75px;margin-top: 12px;margin-bottom: 0px;} .p87{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 19px;margin-bottom: 0px;} .p88{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 20px;margin-bottom: 0px;} .p89{text-align: left;margin-top: 32px;margin-bottom: 0px;} .p90{text-align: justify;padding-right: 132px;margin-top: 12px;margin-bottom: 0px;} .p91{text-align: justify;padding-right: 132px;margin-top: 19px;margin-bottom: 0px;} .p92{text-align: justify;padding-right: 132px;margin-top: 18px;margin-bottom: 0px;} .p93{text-align: left;padding-right: 173px;margin-top: 35px;margin-bottom: 0px;} .p94{text-align: left;margin-top: 10px;margin-bottom: 0px;} .p95{text-align: justify;padding-right: 128px;margin-top: 13px;margin-bottom: 0px;} .p96{text-align: justify;padding-right: 71px;margin-top: 12px;margin-bottom: 0px;} .p97{text-align: justify;padding-right: 71px;margin-top: 13px;margin-bottom: 0px;} .p98{text-align: left;padding-right: 155px;margin-top: 0px;margin-bottom: 0px;} .p99{text-align: justify;padding-right: 127px;margin-top: 147px;margin-bottom: 0px;} .p100{text-align: left;margin-top: 30px;margin-bottom: 0px;} .p101{text-align: left;padding-left: 403px;margin-top: 118px;margin-bottom: 0px;} .p102{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 12px;margin-bottom: 0px;} .p103{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p104{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p105{text-align: left;margin-top: 31px;margin-bottom: 0px;} .p106{text-align: justify;padding-left: 18px;padding-right: 133px;margin-top: 8px;margin-bottom: 0px;text-indent: -18px;} .p107{text-align: justify;padding-left: 18px;padding-right: 132px;margin-top: 7px;margin-bottom: 0px;text-indent: -18px;} .p108{text-align: justify;padding-left: 18px;padding-right: 133px;margin-top: 9px;margin-bottom: 0px;text-indent: -18px;} .p109{text-align: left;padding-right: 133px;margin-top: 17px;margin-bottom: 0px;} .p110{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p111{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 26px;margin-bottom: 0px;text-indent: -19px;} .p112{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 8px;margin-bottom: 0px;} .p113{text-align: justify;padding-left: 85px;padding-right: 70px;margin-top: 8px;margin-bottom: 0px;} .p114{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 5px;margin-bottom: 0px;} .p115{text-align: justify;padding-left: 18px;padding-right: 133px;margin-top: 32px;margin-bottom: 0px;text-indent: -18px;} .p116{text-align: justify;padding-left: 18px;padding-right: 132px;margin-top: 8px;margin-bottom: 0px;} .p117{text-align: justify;padding-left: 18px;padding-right: 133px;margin-top: 8px;margin-bottom: 0px;} .p118{text-align: justify;padding-left: 18px;padding-right: 133px;margin-top: 9px;margin-bottom: 0px;} .p119{text-align: justify;margin-top: 34px;margin-bottom: 0px;} .p120{text-align: justify;padding-left: 18px;padding-right: 132px;margin-top: 9px;margin-bottom: 0px;} .p121{text-align: justify;padding-left: 18px;padding-right: 127px;margin-top: 8px;margin-bottom: 0px;} .p122{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 32px;margin-bottom: 0px;text-indent: -19px;} .p123{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 10px;margin-bottom: 0px;} .p124{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 34px;margin-bottom: 0px;text-indent: -19px;} .p125{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 4px;margin-bottom: 0px;} .p126{text-align: justify;padding-left: 66px;margin-top: 34px;margin-bottom: 0px;} .p127{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 9px;margin-bottom: 0px;} .p128{text-align: justify;margin-top: 150px;margin-bottom: 0px;} .p129{text-align: justify;padding-left: 60px;padding-right: 224px;margin-top: 1px;margin-bottom: 0px;} .p130{text-align: left;padding-left: 18px;margin-top: 10px;margin-bottom: 0px;} .p131{text-align: left;margin-top: 36px;margin-bottom: 0px;} .p132{text-align: justify;padding-right: 132px;margin-top: 11px;margin-bottom: 0px;} .p133{text-align: justify;padding-right: 132px;margin-top: 17px;margin-bottom: 0px;} .p134{text-align: left;padding-left: 403px;margin-top: 143px;margin-bottom: 0px;} .p135{text-align: left;padding-left: 19px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p136{text-align: left;padding-left: 215px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p137{text-align: center;padding-right: 2px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p138{text-align: center;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p139{text-align: left;padding-left: 10px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p140{text-align: left;padding-left: 2px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p141{text-align: left;margin-top: 33px;margin-bottom: 0px;} .p142{text-align: justify;padding-right: 71px;margin-top: 11px;margin-bottom: 0px;} .p143{text-align: justify;padding-right: 76px;margin-top: 18px;margin-bottom: 0px;} .p144{text-align: justify;padding-right: 71px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p145{text-align: justify;padding-right: 71px;margin-top: 32px;margin-bottom: 0px;} .p146{text-align: justify;padding-right: 71px;margin-top: 20px;margin-bottom: 0px;} .p147{text-align: justify;padding-right: 72px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p148{text-align: justify;padding-right: 66px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p149{text-align: justify;padding-right: 66px;margin-top: 15px;margin-bottom: 0px;} .p150{text-align: justify;padding-right: 72px;margin-top: 19px;margin-bottom: 0px;} .p151{text-align: justify;padding-right: 67px;margin-top: 3px;margin-bottom: 0px;text-indent: 19px;} .p152{text-align: justify;padding-right: 71px;margin-top: 18px;margin-bottom: 0px;} .p153{text-align: justify;padding-right: 71px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p154{text-align: left;padding-left: 66px;margin-top: 32px;margin-bottom: 0px;} .p155{text-align: justify;padding-left: 66px;padding-right: 70px;margin-top: 11px;margin-bottom: 0px;} .p156{text-align: justify;padding-left: 85px;margin-top: 0px;margin-bottom: 0px;} .p157{text-align: justify;padding-left: 85px;margin-top: 1px;margin-bottom: 0px;} .p158{text-align: left;padding-left: 66px;margin-top: 36px;margin-bottom: 0px;} .p159{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 11px;margin-bottom: 0px;} .p160{text-align: justify;padding-left: 66px;padding-right: 70px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p161{text-align: justify;padding-left: 66px;padding-right: 75px;margin-top: 13px;margin-bottom: 0px;} .p162{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 17px;margin-bottom: 0px;} .p163{text-align: justify;padding-right: 133px;margin-top: 32px;margin-bottom: 0px;} .p164{text-align: justify;padding-right: 127px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p165{text-align: justify;padding-right: 127px;margin-top: 4px;margin-bottom: 0px;text-indent: 19px;} .p166{text-align: justify;padding-right: 133px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p167{text-align: justify;padding-right: 76px;margin-top: 11px;margin-bottom: 0px;} .p168{text-align: justify;padding-right: 76px;margin-top: 4px;margin-bottom: 0px;text-indent: 19px;} .p169{text-align: justify;padding-left: 19px;padding-right: 76px;margin-top: 8px;margin-bottom: 0px;text-indent: -19px;} .p170{text-align: justify;padding-left: 19px;padding-right: 71px;margin-top: 10px;margin-bottom: 0px;text-indent: -19px;} .p171{text-align: justify;padding-left: 19px;margin-top: 1px;margin-bottom: 0px;} .p172{text-align: left;padding-left: 19px;margin-top: 1px;margin-bottom: 0px;} .p173{text-align: left;margin-top: 22px;margin-bottom: 0px;} .p174{text-align: justify;padding-right: 132px;margin-top: 0px;margin-bottom: 0px;text-indent: 18px;} .p175{text-align: justify;padding-right: 128px;margin-top: 0px;margin-bottom: 0px;text-indent: 18px;} .p176{text-align: justify;padding-right: 127px;margin-top: 1px;margin-bottom: 0px;text-indent: 18px;} .p177{text-align: left;padding-left: 18px;margin-top: 23px;margin-bottom: 0px;} .p178{text-align: justify;margin-top: 0px;margin-bottom: 0px;} .p179{text-align: left;padding-left: 61px;padding-right: 125px;margin-top: 2px;margin-bottom: 0px;} .p180{text-align: left;padding-right: 71px;margin-top: 10px;margin-bottom: 0px;text-indent: 19px;} .p181{text-align: left;padding-left: 200px;margin-top: 18px;margin-bottom: 0px;} .p182{text-align: justify;padding-left: 215px;padding-right: 71px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p183{text-align: left;padding-left: 19px;margin-top: 42px;margin-bottom: 0px;} .p184{text-align: justify;padding-left: 60px;padding-right: 155px;margin-top: 0px;margin-bottom: 0px;text-indent: -60px;} .p185{text-align: justify;margin-top: 148px;margin-bottom: 0px;} .p186{text-align: left;margin-top: 13px;margin-bottom: 0px;} .p187{text-align: justify;padding-left: 18px;padding-right: 132px;margin-top: 9px;margin-bottom: 0px;text-indent: -18px;} .p188{text-align: justify;padding-left: 18px;padding-right: 128px;margin-top: 9px;margin-bottom: 0px;text-indent: -18px;} .p189{text-align: justify;padding-left: 18px;padding-right: 133px;margin-top: 10px;margin-bottom: 0px;text-indent: -18px;} .p190{text-align: left;margin-top: 7px;margin-bottom: 0px;} .p191{text-align: justify;margin-top: 36px;margin-bottom: 0px;} .p192{text-align: justify;padding-right: 127px;margin-top: 13px;margin-bottom: 0px;} .p193{text-align: left;padding-left: 403px;margin-top: 34px;margin-bottom: 0px;} .p194{text-align: justify;padding-left: 66px;padding-right: 70px;margin-top: 32px;margin-bottom: 0px;} .p195{text-align: justify;padding-left: 66px;margin-top: 36px;margin-bottom: 0px;} .p196{text-align: justify;padding-right: 132px;margin-top: 326px;margin-bottom: 0px;} .p197{text-align: left;padding-left: 18px;margin-top: 1px;margin-bottom: 0px;} .p198{text-align: justify;padding-right: 128px;margin-top: 1px;margin-bottom: 0px;} .p199{text-align: justify;padding-left: 66px;padding-right: 6px;margin-top: 32px;margin-bottom: 0px;} .p200{text-align: justify;padding-left: 66px;padding-right: 5px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p201{text-align: justify;padding-left: 66px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p202{text-align: justify;padding-left: 66px;padding-right: 6px;margin-top: 8px;margin-bottom: 0px;text-indent: 19px;} .p203{text-align: justify;padding-right: 72px;margin-top: 32px;margin-bottom: 0px;} .p204{text-align: justify;padding-right: 66px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p205{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 32px;margin-bottom: 0px;} .p206{text-align: justify;padding-left: 66px;margin-top: 35px;margin-bottom: 0px;} .p207{text-align: justify;padding-left: 66px;padding-right: 75px;margin-top: 0px;margin-bottom: 0px;} .p208{text-align: justify;padding-left: 66px;padding-right: 70px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p209{text-align: justify;padding-right: 127px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p210{text-align: justify;padding-right: 127px;margin-top: 12px;margin-bottom: 0px;} .p211{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p212{text-align: justify;padding-left: 66px;margin-top: 8px;margin-bottom: 0px;} .p213{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 8px;margin-bottom: 0px;text-indent: -19px;} .p214{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 9px;margin-bottom: 0px;text-indent: -19px;} .p215{text-align: justify;padding-left: 66px;padding-right: 75px;margin-top: 17px;margin-bottom: 0px;} .p216{text-align: justify;padding-left: 18px;padding-right: 132px;margin-top: 4px;margin-bottom: 0px;} .p217{text-align: justify;padding-left: 18px;padding-right: 128px;margin-top: 4px;margin-bottom: 0px;} .p218{text-align: left;padding-left: 18px;margin-top: 9px;margin-bottom: 0px;} .p219{text-align: justify;padding-right: 127px;margin-top: 15px;margin-bottom: 0px;} .p220{text-align: justify;padding-right: 133px;margin-top: 27px;margin-bottom: 0px;} .p221{text-align: justify;margin-top: 3px;margin-bottom: 0px;} .p222{text-align: justify;padding-left: 66px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p223{text-align: justify;padding-left: 66px;padding-right: 6px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p224{text-align: left;padding-left: 403px;margin-top: 67px;margin-bottom: 0px;} .p225{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p226{text-align: justify;padding-left: 66px;padding-right: 70px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p227{text-align: justify;padding-left: 18px;padding-right: 72px;margin-top: 31px;margin-bottom: 0px;} .p228{text-align: justify;padding-left: 18px;padding-right: 72px;margin-top: 5px;margin-bottom: 0px;} .p229{text-align: justify;padding-right: 72px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p230{text-align: justify;padding-left: 66px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p231{text-align: justify;padding-left: 66px;padding-right: 5px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p232{text-align: justify;padding-left: 66px;padding-right: 1px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p233{text-align: justify;padding-right: 66px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p234{text-align: justify;padding-left: 60px;padding-right: 93px;margin-top: 35px;margin-bottom: 0px;text-indent: -60px;} .p235{text-align: justify;padding-right: 66px;margin-top: 12px;margin-bottom: 0px;} .p236{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 14px;margin-bottom: 0px;} .p237{text-align: justify;padding-left: 66px;padding-right: 5px;margin-top: 32px;margin-bottom: 0px;} .p238{text-align: justify;padding-left: 66px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p239{text-align: justify;padding-right: 71px;margin-top: 0px;margin-bottom: 0px;} .p240{text-align: justify;margin-top: 30px;margin-bottom: 0px;} .p241{text-align: justify;margin-top: 151px;margin-bottom: 0px;} .p242{text-align: left;padding-left: 403px;margin-top: 47px;margin-bottom: 0px;} .p243{text-align: justify;margin-top: 35px;margin-bottom: 0px;} .p244{text-align: justify;padding-right: 76px;margin-top: 13px;margin-bottom: 0px;} .p245{text-align: justify;padding-right: 71px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p246{text-align: justify;padding-left: 66px;margin-top: 7px;margin-bottom: 0px;} .p247{text-align: justify;padding-left: 66px;margin-top: 9px;margin-bottom: 0px;} .p248{text-align: left;padding-left: 66px;margin-top: 15px;margin-bottom: 0px;} .p249{text-align: justify;margin-top: 31px;margin-bottom: 0px;} .p250{text-align: justify;padding-left: 18px;padding-right: 132px;margin-top: 10px;margin-bottom: 0px;text-indent: -18px;} .p251{text-align: justify;padding-left: 18px;padding-right: 128px;margin-top: 7px;margin-bottom: 0px;text-indent: -18px;} .p252{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 17px;margin-bottom: 0px;} .p253{text-align: justify;padding-left: 66px;margin-top: 41px;margin-bottom: 0px;} .p254{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 11px;margin-bottom: 0px;} .p255{text-align: justify;padding-right: 128px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p256{text-align: justify;padding-right: 127px;margin-top: 11px;margin-bottom: 0px;} .p257{text-align: justify;padding-right: 128px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p258{text-align: justify;padding-left: 60px;padding-right: 157px;margin-top: 32px;margin-bottom: 0px;text-indent: -60px;} .p259{text-align: justify;padding-left: 66px;padding-right: 75px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p260{text-align: justify;padding-right: 66px;margin-top: 32px;margin-bottom: 0px;} .p261{text-align: justify;padding-left: 18px;padding-right: 67px;margin-top: 3px;margin-bottom: 0px;} .p262{text-align: justify;padding-left: 85px;padding-right: 1px;margin-top: 31px;margin-bottom: 0px;} .p263{text-align: justify;padding-left: 66px;margin-top: 12px;margin-bottom: 0px;} .p264{text-align: justify;padding-left: 85px;padding-right: 6px;margin-top: 9px;margin-bottom: 0px;text-indent: -19px;} .p265{text-align: justify;padding-left: 85px;padding-right: 6px;margin-top: 8px;margin-bottom: 0px;text-indent: -19px;} .p266{text-align: justify;padding-left: 18px;padding-right: 132px;margin-top: 32px;margin-bottom: 0px;text-indent: -18px;} .p267{text-align: justify;padding-right: 133px;margin-top: 20px;margin-bottom: 0px;} .p268{text-align: justify;padding-left: 66px;padding-right: 6px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p269{text-align: justify;padding-right: 128px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p270{text-align: justify;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p271{text-align: justify;padding-right: 5px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p272{text-align: justify;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p273{text-align: justify;padding-left: 66px;padding-right: 1px;margin-top: 32px;margin-bottom: 0px;} .p274{text-align: justify;padding-left: 127px;padding-right: 42px;margin-top: 34px;margin-bottom: 0px;text-indent: -61px;} .p275{text-align: justify;padding-left: 66px;margin-top: 11px;margin-bottom: 0px;} .p276{text-align: justify;padding-left: 66px;padding-right: 1px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p277{text-align: justify;padding-right: 67px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p278{text-align: justify;margin-top: 13px;margin-bottom: 0px;} .p279{text-align: justify;padding-right: 133px;margin-top: 12px;margin-bottom: 0px;} .p280{text-align: left;padding-left: 403px;margin-top: 37px;margin-bottom: 0px;} .p281{text-align: left;padding-left: 349px;margin-top: 0px;margin-bottom: 0px;} .p282{text-align: justify;padding-right: 70px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p283{text-align: justify;padding-right: 127px;margin-top: 32px;margin-bottom: 0px;} .p284{text-align: justify;padding-right: 76px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p285{text-align: justify;padding-right: 76px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p286{text-align: justify;margin-top: 32px;margin-bottom: 0px;} .p287{text-align: justify;padding-right: 71px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p288{text-align: justify;padding-right: 75px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p289{text-align: justify;padding-right: 70px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p290{text-align: justify;padding-right: 127px;margin-top: 8px;margin-bottom: 0px;text-indent: 19px;} .p291{text-align: justify;padding-left: 18px;padding-right: 127px;margin-top: 7px;margin-bottom: 0px;} .p292{text-align: left;padding-left: 19px;padding-right: 76px;margin-top: 31px;margin-bottom: 0px;} .p293{text-align: justify;padding-right: 76px;margin-top: 14px;margin-bottom: 0px;} .p294{text-align: justify;padding-right: 75px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p295{text-align: right;padding-right: 76px;margin-top: 0px;margin-bottom: 0px;} .p296{text-align: justify;padding-left: 132px;padding-right: 76px;margin-top: 32px;margin-bottom: 0px;} .p297{text-align: justify;padding-left: 132px;padding-right: 71px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p298{text-align: justify;padding-left: 193px;padding-right: 86px;margin-top: 35px;margin-bottom: 0px;text-indent: -61px;} .p299{text-align: justify;padding-left: 132px;margin-top: 12px;margin-bottom: 0px;} .p300{text-align: justify;padding-left: 132px;padding-right: 71px;margin-top: 11px;margin-bottom: 0px;} .p301{text-align: justify;padding-left: 132px;padding-right: 71px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p302{text-align: justify;padding-left: 61px;padding-right: 143px;margin-top: 35px;margin-bottom: 0px;text-indent: -61px;} .p303{text-align: justify;padding-right: 71px;margin-top: 10px;margin-bottom: 0px;} .p304{text-align: left;padding-left: 60px;padding-right: 147px;margin-top: 35px;margin-bottom: 0px;text-indent: -60px;} .p305{text-align: justify;padding-right: 127px;margin-top: 10px;margin-bottom: 0px;} .p306{text-align: justify;padding-left: 61px;padding-right: 90px;margin-top: 32px;margin-bottom: 0px;text-indent: -61px;} .p307{text-align: left;padding-left: 60px;padding-right: 135px;margin-top: 34px;margin-bottom: 0px;text-indent: -60px;} .p308{text-align: left;padding-left: 61px;padding-right: 96px;margin-top: 31px;margin-bottom: 0px;text-indent: -61px;} .p309{text-align: justify;padding-right: 76px;margin-top: 10px;margin-bottom: 0px;} .p310{text-align: left;padding-left: 60px;padding-right: 278px;margin-top: 35px;margin-bottom: 0px;text-indent: -60px;} .p311{text-align: justify;margin-top: 43px;margin-bottom: 0px;} .p312{text-align: right;padding-right: 5px;margin-top: 0px;margin-bottom: 0px;} .p313{text-align: justify;padding-left: 132px;padding-right: 5px;margin-top: 32px;margin-bottom: 0px;} .p314{text-align: justify;padding-left: 132px;padding-right: 5px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p315{text-align: justify;padding-left: 132px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p316{text-align: justify;padding-left: 132px;padding-right: 5px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p317{text-align: justify;padding-left: 60px;padding-right: 135px;margin-top: 0px;margin-bottom: 0px;text-indent: -60px;} .p318{text-align: justify;padding-right: 132px;margin-top: 148px;margin-bottom: 0px;} .p319{text-align: left;padding-left: 403px;margin-top: 49px;margin-bottom: 0px;} .p320{text-align: justify;padding-left: 127px;padding-right: 159px;margin-top: 34px;margin-bottom: 0px;text-indent: -61px;} .p321{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 10px;margin-bottom: 0px;text-indent: -19px;} .p322{text-align: justify;padding-left: 66px;padding-right: 70px;margin-top: 17px;margin-bottom: 0px;} .p323{text-align: justify;padding-right: 133px;margin-top: 17px;margin-bottom: 0px;} .p324{text-align: justify;padding-right: 132px;margin-top: 13px;margin-bottom: 0px;text-indent: 19px;} .p325{text-align: justify;padding-left: 85px;padding-right: 6px;margin-top: 11px;margin-bottom: 0px;text-indent: -19px;} .p326{text-align: justify;padding-left: 66px;padding-right: 5px;margin-top: 15px;margin-bottom: 0px;} .p327{text-align: justify;padding-left: 66px;margin-top: 42px;margin-bottom: 0px;} .p328{text-align: justify;padding-left: 18px;padding-right: 71px;margin-top: 9px;margin-bottom: 0px;text-indent: -18px;} .p329{text-align: justify;padding-left: 18px;padding-right: 72px;margin-top: 9px;margin-bottom: 0px;text-indent: -18px;} .p330{text-align: justify;padding-left: 18px;padding-right: 71px;margin-top: 7px;margin-bottom: 0px;text-indent: -18px;} .p331{text-align: justify;padding-left: 19px;margin-top: 0px;margin-bottom: 0px;text-indent: -19px;} .p332{text-align: justify;padding-left: 19px;margin-top: 11px;margin-bottom: 0px;text-indent: -19px;} .p333{text-align: justify;padding-left: 19px;margin-top: 8px;margin-bottom: 0px;text-indent: -19px;} .p334{text-align: justify;padding-left: 19px;margin-top: 7px;margin-bottom: 0px;text-indent: -19px;} .p335{text-align: justify;margin-top: 15px;margin-bottom: 0px;} .p336{text-align: justify;padding-right: 133px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p337{text-align: justify;padding-left: 66px;padding-right: 5px;margin-top: 9px;margin-bottom: 0px;text-indent: 19px;} .p338{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 32px;margin-bottom: 0px;} .p339{text-align: justify;padding-left: 66px;margin-top: 31px;margin-bottom: 0px;} .p340{text-align: justify;padding-left: 66px;padding-right: 70px;margin-top: 12px;margin-bottom: 0px;} .p341{text-align: left;padding-left: 66px;padding-right: 76px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p342{text-align: justify;padding-left: 66px;margin-top: 10px;margin-bottom: 0px;} .p343{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 7px;margin-bottom: 0px;text-indent: -19px;} .p344{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 11px;margin-bottom: 0px;text-indent: 19px;} .p345{text-align: justify;padding-left: 66px;margin-top: 32px;margin-bottom: 0px;} .p346{text-align: justify;padding-left: 66px;padding-right: 6px;margin-top: 3px;margin-bottom: 0px;text-indent: 19px;} .p347{text-align: left;padding-left: 66px;padding-right: 70px;margin-top: 32px;margin-bottom: 0px;} .p348{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 19px;margin-bottom: 0px;} .p349{text-align: justify;padding-left: 127px;padding-right: 62px;margin-top: 31px;margin-bottom: 0px;text-indent: -61px;} .p350{text-align: justify;padding-left: 66px;padding-right: 5px;margin-top: 11px;margin-bottom: 0px;} .p351{text-align: justify;padding-left: 66px;padding-right: 75px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p352{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p353{text-align: justify;padding-left: 19px;padding-right: 76px;margin-top: 6px;margin-bottom: 0px;text-indent: -19px;} .p354{text-align: justify;padding-left: 19px;padding-right: 76px;margin-top: 9px;margin-bottom: 0px;text-indent: -19px;} .p355{text-align: justify;padding-left: 19px;padding-right: 76px;margin-top: 10px;margin-bottom: 0px;text-indent: -19px;} .p356{text-align: justify;padding-left: 19px;padding-right: 76px;margin-top: 11px;margin-bottom: 0px;text-indent: -19px;} .p357{text-align: justify;padding-left: 18px;padding-right: 133px;margin-top: 7px;margin-bottom: 0px;text-indent: -18px;} .p358{text-align: left;padding-right: 127px;margin-top: 18px;margin-bottom: 0px;} .p359{text-align: justify;padding-left: 18px;padding-right: 133px;margin-top: 6px;margin-bottom: 0px;text-indent: -18px;} .p360{text-align: justify;padding-left: 66px;padding-right: 1px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p361{text-align: justify;padding-left: 66px;padding-right: 6px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p362{text-align: justify;padding-right: 5px;margin-top: 0px;margin-bottom: 0px;} .p363{text-align: justify;padding-right: 5px;margin-top: 19px;margin-bottom: 0px;text-indent: 19px;} .p364{text-align: justify;padding-left: 19px;margin-top: 8px;margin-bottom: 0px;} .p365{text-align: justify;padding-right: 132px;margin-top: 8px;margin-bottom: 0px;text-indent: 19px;} .p366{text-align: justify;padding-left: 60px;padding-right: 207px;margin-top: 151px;margin-bottom: 0px;text-indent: -60px;} .p367{text-align: justify;padding-left: 18px;padding-right: 128px;margin-top: 3px;margin-bottom: 0px;} .p368{text-align: left;padding-left: 397px;margin-top: 75px;margin-bottom: 0px;} .p369{text-align: left;padding-left: 66px;padding-right: 76px;margin-top: 1px;margin-bottom: 0px;} .p370{text-align: justify;padding-left: 18px;padding-right: 127px;margin-top: 0px;margin-bottom: 0px;} .p371{text-align: justify;padding-left: 18px;padding-right: 133px;margin-top: 6px;margin-bottom: 0px;text-indent: 13px;} .p372{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 6px;margin-bottom: 0px;text-indent: 19px;} .p373{text-align: justify;padding-left: 66px;padding-right: 5px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p374{text-align: justify;padding-left: 66px;padding-right: 6px;margin-top: 0px;margin-bottom: 0px;text-indent: 23px;} .p375{text-align: justify;padding-right: 128px;margin-top: 32px;margin-bottom: 0px;} .p376{text-align: justify;padding-right: 128px;margin-top: 11px;margin-bottom: 0px;} .p377{text-align: justify;padding-left: 66px;padding-right: 1px;margin-top: 19px;margin-bottom: 0px;text-indent: 19px;} .p378{text-align: left;padding-left: 66px;margin-top: 16px;margin-bottom: 0px;} .p379{text-align: left;padding-left: 66px;padding-right: 125px;margin-top: 35px;margin-bottom: 0px;} .p380{text-align: left;padding-right: 110px;margin-top: 36px;margin-bottom: 0px;} .p381{text-align: left;padding-right: 75px;margin-top: 35px;margin-bottom: 0px;} .p382{text-align: left;padding-left: 66px;padding-right: 116px;margin-top: 31px;margin-bottom: 0px;} .p383{text-align: justify;padding-left: 66px;padding-right: 75px;margin-top: 11px;margin-bottom: 0px;} .p384{text-align: justify;padding-left: 66px;margin-top: 0px;margin-bottom: 0px;} .p385{text-align: justify;padding-left: 66px;padding-right: 4px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p386{text-align: justify;padding-left: 18px;padding-right: 133px;margin-top: 4px;margin-bottom: 0px;text-indent: -18px;} .p387{text-align: left;padding-right: 5px;margin-top: 0px;margin-bottom: 0px;} .p388{text-align: left;padding-right: 5px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p389{text-align: justify;padding-left: 19px;padding-right: 5px;margin-top: 10px;margin-bottom: 0px;text-indent: -19px;} .p390{text-align: justify;padding-left: 19px;margin-top: 9px;margin-bottom: 0px;text-indent: -19px;} .p391{text-align: justify;padding-left: 19px;padding-right: 5px;margin-top: 7px;margin-bottom: 0px;text-indent: -19px;} .p392{text-align: justify;margin-top: 18px;margin-bottom: 0px;} .p393{text-align: justify;padding-left: 18px;padding-right: 71px;margin-top: 32px;margin-bottom: 0px;} .p394{text-align: justify;padding-right: 66px;margin-top: 16px;margin-bottom: 0px;} .p395{text-align: justify;padding-left: 18px;padding-right: 72px;margin-top: 8px;margin-bottom: 0px;text-indent: -18px;} .p396{text-align: justify;padding-left: 18px;padding-right: 72px;margin-top: 10px;margin-bottom: 0px;text-indent: -18px;} .p397{text-align: justify;padding-left: 18px;padding-right: 72px;margin-top: 7px;margin-bottom: 0px;text-indent: -18px;} .p398{text-align: justify;padding-left: 18px;padding-right: 71px;margin-top: 11px;margin-bottom: 0px;text-indent: -18px;} .p399{text-align: justify;padding-left: 60px;padding-right: 73px;margin-top: 38px;margin-bottom: 0px;text-indent: -60px;} .p400{text-align: justify;padding-right: 66px;margin-top: 11px;margin-bottom: 0px;} .p401{text-align: left;padding-left: 85px;margin-top: 1px;margin-bottom: 0px;} .p402{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 12px;margin-bottom: 0px;text-indent: -19px;} .p403{text-align: justify;padding-left: 85px;padding-right: 76px;margin-top: 11px;margin-bottom: 0px;text-indent: -19px;} .p404{text-align: justify;padding-left: 18px;padding-right: 133px;margin-top: 11px;margin-bottom: 0px;text-indent: -18px;} .p405{text-align: justify;padding-left: 18px;padding-right: 128px;margin-top: 10px;margin-bottom: 0px;text-indent: -18px;} .p406{text-align: justify;padding-left: 18px;padding-right: 133px;margin-top: 12px;margin-bottom: 0px;text-indent: -18px;} .p407{text-align: justify;padding-left: 18px;padding-right: 128px;margin-top: 8px;margin-bottom: 0px;text-indent: -18px;} .p408{text-align: justify;padding-left: 19px;padding-right: 71px;margin-top: 0px;margin-bottom: 0px;text-indent: -19px;} .p409{text-align: justify;padding-left: 19px;padding-right: 76px;margin-top: 7px;margin-bottom: 0px;text-indent: -19px;} .p410{text-align: left;margin-top: 37px;margin-bottom: 0px;} .p411{text-align: justify;padding-right: 5px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p412{text-align: justify;padding-right: 66px;margin-top: 8px;margin-bottom: 0px;text-indent: 19px;} .p413{text-align: justify;padding-right: 67px;margin-top: 32px;margin-bottom: 0px;} .p414{text-align: left;padding-left: 66px;margin-top: 38px;margin-bottom: 0px;} .p415{text-align: justify;margin-top: 7px;margin-bottom: 0px;} .p416{text-align: left;padding-left: 66px;padding-right: 76px;margin-top: 15px;margin-bottom: 0px;} .p417{text-align: justify;padding-right: 132px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p418{text-align: justify;padding-left: 18px;margin-top: 1px;margin-bottom: 0px;} .p419{text-align: justify;padding-left: 60px;padding-right: 166px;margin-top: 36px;margin-bottom: 0px;text-indent: -60px;} .p420{text-align: justify;padding-right: 132px;margin-top: 10px;margin-bottom: 0px;} .p421{text-align: justify;padding-left: 60px;padding-right: 148px;margin-top: 34px;margin-bottom: 0px;text-indent: -60px;} .p422{text-align: justify;padding-right: 72px;margin-top: 13px;margin-bottom: 0px;} .p423{text-align: justify;padding-right: 66px;margin-top: 20px;margin-bottom: 0px;text-indent: 19px;} .p424{text-align: justify;padding-right: 66px;margin-top: 19px;margin-bottom: 0px;text-indent: 19px;} .p425{text-align: justify;padding-right: 66px;margin-top: 0px;margin-bottom: 0px;} .p426{text-align: left;padding-left: 85px;margin-top: 0px;margin-bottom: 0px;} .p427{text-align: justify;padding-left: 66px;padding-right: 70px;margin-top: 1px;margin-bottom: 0px;} .p428{text-align: justify;padding-right: 132px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p429{text-align: justify;padding-right: 66px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p430{text-align: justify;padding-right: 72px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p431{text-align: justify;padding-left: 18px;padding-right: 66px;margin-top: 10px;margin-bottom: 0px;text-indent: -18px;} .p432{text-align: justify;padding-left: 18px;padding-right: 71px;margin-top: 6px;margin-bottom: 0px;text-indent: -18px;} .p433{text-align: justify;padding-left: 18px;padding-right: 72px;margin-top: 11px;margin-bottom: 0px;text-indent: -18px;} .p434{text-align: justify;padding-left: 85px;padding-right: 71px;margin-top: 32px;margin-bottom: 0px;text-indent: -19px;} .p435{text-align: justify;padding-left: 85px;padding-right: 71px;margin-top: 11px;margin-bottom: 0px;text-indent: -19px;} .p436{text-align: justify;padding-left: 66px;margin-top: 13px;margin-bottom: 0px;} .p437{text-align: justify;padding-left: 18px;padding-right: 127px;margin-top: 9px;margin-bottom: 0px;text-indent: -18px;} .p438{text-align: justify;padding-left: 60px;padding-right: 165px;margin-top: 35px;margin-bottom: 0px;text-indent: -60px;} .p439{text-align: justify;padding-right: 133px;margin-top: 0px;margin-bottom: 0px;} .p440{text-align: justify;padding-left: 127px;padding-right: 26px;margin-top: 34px;margin-bottom: 0px;text-indent: -61px;} .p441{text-align: justify;padding-left: 66px;padding-right: 5px;margin-top: 10px;margin-bottom: 0px;} .p442{text-align: justify;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p443{text-align: justify;padding-left: 60px;padding-right: 147px;margin-top: 0px;margin-bottom: 0px;text-indent: -60px;} .p444{text-align: justify;padding-right: 132px;margin-top: 147px;margin-bottom: 0px;} .p445{text-align: left;padding-left: 397px;margin-top: 54px;margin-bottom: 0px;} .p446{text-align: justify;padding-left: 66px;padding-right: 6px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p447{text-align: justify;padding-right: 66px;margin-top: 4px;margin-bottom: 0px;text-indent: 19px;} .p448{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 16px;margin-bottom: 0px;} .p449{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 10px;margin-bottom: 0px;text-indent: 19px;} .p450{text-align: left;padding-left: 60px;padding-right: 78px;margin-top: 31px;margin-bottom: 0px;text-indent: -60px;} .p451{text-align: justify;padding-left: 61px;padding-right: 219px;margin-top: 0px;margin-bottom: 0px;text-indent: -61px;} .p452{text-align: justify;padding-right: 67px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p453{text-align: justify;padding-left: 85px;padding-right: 75px;margin-top: 9px;margin-bottom: 0px;text-indent: -19px;} .p454{text-align: left;padding-left: 85px;padding-right: 76px;margin-top: 9px;margin-bottom: 0px;text-indent: -18px;} .p455{text-align: left;padding-left: 66px;padding-right: 76px;margin-top: 20px;margin-bottom: 0px;} .p456{text-align: justify;padding-left: 60px;padding-right: 154px;margin-top: 13px;margin-bottom: 0px;text-indent: -60px;} .p457{text-align: justify;padding-left: 61px;padding-right: 34px;margin-top: 35px;margin-bottom: 0px;text-indent: -61px;} .p458{text-align: justify;padding-right: 5px;margin-top: 11px;margin-bottom: 0px;} .p459{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 32px;margin-bottom: 0px;text-indent: 19px;} .p460{text-align: justify;padding-left: 60px;padding-right: 134px;margin-top: 35px;margin-bottom: 0px;text-indent: -60px;} .p461{text-align: justify;padding-left: 127px;padding-right: 105px;margin-top: 35px;margin-bottom: 0px;text-indent: -61px;} .p462{text-align: justify;padding-right: 76px;margin-top: 0px;margin-bottom: 0px;} .p463{text-align: left;padding-right: 127px;margin-top: 12px;margin-bottom: 0px;} .p464{text-align: justify;padding-right: 128px;margin-top: 0px;margin-bottom: 0px;} .p465{text-align: justify;padding-right: 132px;margin-top: 0px;margin-bottom: 0px;} .p466{text-align: left;padding-left: 60px;padding-right: 139px;margin-top: 35px;margin-bottom: 0px;text-indent: -60px;} .p467{text-align: justify;padding-right: 76px;margin-top: 12px;margin-bottom: 0px;} .p468{text-align: left;padding-right: 133px;margin-top: 32px;margin-bottom: 0px;} .p469{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 1px;margin-bottom: 0px;} .p470{text-align: left;padding-left: 66px;margin-top: 1px;margin-bottom: 0px;} .p471{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 1px;margin-bottom: 0px;} .p472{text-align: justify;padding-right: 128px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p473{text-align: justify;padding-left: 18px;padding-right: 132px;margin-top: 6px;margin-bottom: 0px;text-indent: -18px;} .p474{text-align: justify;padding-left: 18px;padding-right: 127px;margin-top: 7px;margin-bottom: 0px;text-indent: -18px;} .p475{text-align: justify;padding-left: 60px;padding-right: 159px;margin-top: 151px;margin-bottom: 0px;text-indent: -60px;} .p476{text-align: left;padding-left: 9px;padding-right: 142px;margin-top: 18px;margin-bottom: 0px;} .p477{text-align: justify;margin-top: 41px;margin-bottom: 0px;} .p478{text-align: left;padding-left: 397px;margin-top: 130px;margin-bottom: 0px;} .p479{text-align: justify;padding-left: 19px;padding-right: 76px;margin-top: 2px;margin-bottom: 0px;} .p480{text-align: justify;padding-left: 19px;padding-right: 71px;margin-top: 4px;margin-bottom: 0px;text-indent: -19px;} .p481{text-align: justify;padding-left: 19px;padding-right: 71px;margin-top: 7px;margin-bottom: 0px;text-indent: -19px;} .p482{text-align: left;margin-top: 9px;margin-bottom: 0px;} .p483{text-align: left;margin-top: 8px;margin-bottom: 0px;} .p484{text-align: justify;padding-left: 19px;padding-right: 76px;margin-top: 1px;margin-bottom: 0px;} .p485{text-align: justify;padding-left: 19px;margin-top: 11px;margin-bottom: 0px;} .p486{text-align: justify;padding-left: 19px;margin-top: 0px;margin-bottom: 0px;} .p487{text-align: justify;padding-left: 19px;padding-right: 76px;margin-top: 0px;margin-bottom: 0px;} .p488{text-align: left;padding-left: 76px;margin-top: 18px;margin-bottom: 0px;} .p489{text-align: justify;padding-left: 76px;margin-top: 0px;margin-bottom: 0px;} .p490{text-align: justify;padding-left: 76px;padding-right: 85px;margin-top: 1px;margin-bottom: 0px;} .p491{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 24px;margin-bottom: 0px;} .p492{text-align: left;padding-left: 9px;padding-right: 142px;margin-top: 17px;margin-bottom: 0px;} .p493{text-align: left;margin-top: 42px;margin-bottom: 0px;} .p494{text-align: left;padding-right: 224px;margin-top: 35px;margin-bottom: 0px;} .p495{text-align: justify;padding-right: 66px;margin-top: 10px;margin-bottom: 0px;} .p496{text-align: justify;padding-left: 9px;padding-right: 142px;margin-top: 18px;margin-bottom: 0px;} .p497{text-align: left;margin-top: 40px;margin-bottom: 0px;} .p498{text-align: justify;padding-left: 127px;padding-right: 163px;margin-top: 35px;margin-bottom: 0px;text-indent: -61px;} .p499{text-align: left;padding-left: 76px;padding-right: 85px;margin-top: 17px;margin-bottom: 0px;} .p500{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 25px;margin-bottom: 0px;} .p501{text-align: justify;padding-right: 132px;margin-top: 1px;margin-bottom: 0px;} .p502{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 13px;margin-bottom: 0px;} .p503{text-align: justify;padding-left: 9px;padding-right: 137px;margin-top: 18px;margin-bottom: 0px;} .p504{text-align: justify;padding-left: 127px;padding-right: 111px;margin-top: 35px;margin-bottom: 0px;text-indent: -61px;} .p505{text-align: justify;padding-left: 76px;padding-right: 85px;margin-top: 17px;margin-bottom: 0px;} .p506{text-align: justify;padding-right: 67px;margin-top: 2px;margin-bottom: 0px;text-indent: 19px;} .p507{text-align: left;padding-right: 229px;margin-top: 35px;margin-bottom: 0px;} .p508{text-align: justify;padding-right: 133px;margin-top: 13px;margin-bottom: 0px;} .p509{text-align: left;padding-left: 10px;margin-top: 17px;margin-bottom: 0px;} .p510{text-align: justify;padding-left: 10px;padding-right: 85px;margin-top: 0px;margin-bottom: 0px;} .p511{text-align: justify;padding-left: 10px;padding-right: 85px;margin-top: 1px;margin-bottom: 0px;} .p512{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 0px;margin-bottom: 0px;} .p513{text-align: left;padding-left: 66px;margin-top: 20px;margin-bottom: 0px;} .p514{text-align: justify;padding-left: 66px;padding-right: 4px;margin-top: 32px;margin-bottom: 0px;} .p515{text-align: left;padding-left: 66px;padding-right: 18px;margin-top: 35px;margin-bottom: 0px;} .p516{text-align: justify;padding-right: 128px;margin-top: 4px;margin-bottom: 0px;text-indent: 19px;} .p517{text-align: justify;padding-left: 66px;padding-right: 70px;margin-top: 3px;margin-bottom: 0px;text-indent: 19px;} .p518{text-align: justify;padding-right: 133px;margin-top: 11px;margin-bottom: 0px;} .p519{text-align: justify;padding-left: 76px;padding-right: 85px;margin-top: 0px;margin-bottom: 0px;} .p520{text-align: justify;padding-left: 76px;padding-right: 86px;margin-top: 0px;margin-bottom: 0px;} .p521{text-align: left;padding-left: 66px;margin-top: 41px;margin-bottom: 0px;} .p522{text-align: left;padding-left: 66px;padding-right: 10px;margin-top: 32px;margin-bottom: 0px;} .p523{text-align: justify;padding-left: 18px;padding-right: 132px;margin-top: 8px;margin-bottom: 0px;text-indent: -18px;} .p524{text-align: justify;padding-right: 76px;margin-top: 15px;margin-bottom: 0px;} .p525{text-align: justify;padding-left: 76px;padding-right: 80px;margin-top: 18px;margin-bottom: 0px;} .p526{text-align: justify;padding-left: 66px;padding-right: 70px;margin-top: 24px;margin-bottom: 0px;} .p527{text-align: left;padding-right: 61px;margin-top: 0px;margin-bottom: 0px;} .p528{text-align: left;padding-left: 9px;margin-top: 20px;margin-bottom: 0px;} .p529{text-align: justify;padding-left: 9px;padding-right: 137px;margin-top: 0px;margin-bottom: 0px;} .p530{text-align: justify;padding-left: 9px;padding-right: 137px;margin-top: 2px;margin-bottom: 0px;} .p531{text-align: justify;padding-left: 9px;padding-right: 142px;margin-top: 0px;margin-bottom: 0px;} .p532{text-align: justify;margin-top: 40px;margin-bottom: 0px;} .p533{text-align: justify;padding-right: 128px;margin-top: 7px;margin-bottom: 0px;text-indent: 19px;} .p534{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 4px;margin-bottom: 0px;text-indent: 19px;} .p535{text-align: justify;padding-left: 66px;margin-top: 30px;margin-bottom: 0px;} .p536{text-align: justify;padding-right: 67px;margin-top: 6px;margin-bottom: 0px;text-indent: 19px;} .p537{text-align: justify;padding-right: 133px;margin-top: 18px;margin-bottom: 0px;text-indent: 19px;} .p538{text-align: justify;padding-right: 127px;margin-top: 23px;margin-bottom: 0px;} .p539{text-align: justify;padding-left: 127px;padding-right: 118px;margin-top: 35px;margin-bottom: 0px;text-indent: -61px;} .p540{text-align: justify;padding-left: 76px;padding-right: 80px;margin-top: 17px;margin-bottom: 0px;} .p541{text-align: left;padding-left: 66px;margin-top: 37px;margin-bottom: 0px;} .p542{text-align: justify;padding-left: 76px;padding-right: 85px;margin-top: 19px;margin-bottom: 0px;} .p543{text-align: justify;padding-left: 66px;margin-top: 39px;margin-bottom: 0px;} .p544{text-align: justify;padding-right: 71px;margin-top: 7px;margin-bottom: 0px;text-indent: 19px;} .p545{text-align: justify;padding-left: 66px;margin-top: 7px;margin-bottom: 0px;text-indent: 19px;} .p546{text-align: justify;padding-left: 60px;padding-right: 160px;margin-top: 35px;margin-bottom: 0px;text-indent: -60px;} .p547{text-align: justify;padding-left: 9px;padding-right: 142px;margin-top: 17px;margin-bottom: 0px;} .p548{text-align: justify;padding-right: 127px;margin-top: 27px;margin-bottom: 0px;} .p549{text-align: justify;padding-left: 66px;padding-right: 1px;margin-top: 20px;margin-bottom: 0px;text-indent: 19px;} .p550{text-align: justify;padding-right: 132px;margin-top: 23px;margin-bottom: 0px;} .p551{text-align: left;padding-left: 397px;margin-top: 43px;margin-bottom: 0px;} .p552{text-align: left;padding-left: 66px;padding-right: 76px;margin-top: 32px;margin-bottom: 0px;} .p553{text-align: justify;padding-right: 133px;margin-top: 7px;margin-bottom: 0px;text-indent: 19px;} .p554{text-align: right;padding-right: 61px;margin-top: 0px;margin-bottom: 0px;} .p555{text-align: left;padding-left: 76px;margin-top: 31px;margin-bottom: 0px;} .p556{text-align: left;padding-left: 76px;padding-right: 163px;margin-top: 151px;margin-bottom: 0px;} .p557{text-align: left;padding-left: 76px;margin-top: 12px;margin-bottom: 0px;} .p558{text-align: left;padding-left: 76px;margin-top: 35px;margin-bottom: 0px;} .p559{text-align: justify;padding-left: 76px;padding-right: 133px;margin-top: 12px;margin-bottom: 0px;} .p560{text-align: left;padding-left: 94px;margin-top: 0px;margin-bottom: 0px;} .p561{text-align: justify;padding-left: 94px;padding-right: 133px;margin-top: 9px;margin-bottom: 0px;text-indent: -18px;} .p562{text-align: justify;padding-left: 94px;padding-right: 128px;margin-top: 9px;margin-bottom: 0px;text-indent: -18px;} .p563{text-align: justify;padding-left: 94px;padding-right: 133px;margin-top: 8px;margin-bottom: 0px;text-indent: -18px;} .p564{text-align: justify;padding-left: 94px;padding-right: 132px;margin-top: 7px;margin-bottom: 0px;text-indent: -18px;} .p565{text-align: left;padding-left: 76px;padding-right: 128px;margin-top: 15px;margin-bottom: 0px;} .p566{text-align: justify;padding-right: 127px;margin-top: 9px;margin-bottom: 0px;text-indent: 19px;} .p567{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 11px;margin-bottom: 0px;text-indent: 19px;} .p568{text-align: justify;padding-left: 85px;padding-right: 71px;margin-top: 9px;margin-bottom: 0px;text-indent: -19px;} .p569{text-align: justify;padding-right: 132px;margin-top: 15px;margin-bottom: 0px;} .p570{text-align: left;padding-left: 18px;margin-top: 19px;margin-bottom: 0px;} .p571{text-align: left;padding-left: 262px;margin-top: 19px;margin-bottom: 0px;} .p572{text-align: left;padding-left: 76px;margin-top: 151px;margin-bottom: 0px;} .p573{text-align: left;padding-left: 76px;margin-top: 1px;margin-bottom: 0px;} .p574{text-align: left;padding-left: 76px;margin-top: 13px;margin-bottom: 0px;} .p575{text-align: justify;padding-left: 76px;padding-right: 132px;margin-top: 12px;margin-bottom: 0px;} .p576{text-align: justify;padding-left: 76px;padding-right: 133px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p577{text-align: justify;padding-left: 76px;padding-right: 132px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p578{text-align: justify;padding-left: 76px;padding-right: 127px;margin-top: 11px;margin-bottom: 0px;} .p579{text-align: left;padding-right: 165px;margin-top: 34px;margin-bottom: 0px;} .p580{text-align: left;padding-left: 328px;margin-top: 19px;margin-bottom: 0px;} .p581{text-align: justify;padding-left: 76px;padding-right: 127px;margin-top: 12px;margin-bottom: 0px;} .p582{text-align: justify;padding-left: 76px;padding-right: 127px;margin-top: 0px;margin-bottom: 0px;text-indent: 19px;} .p583{text-align: left;padding-left: 338px;margin-top: 18px;margin-bottom: 0px;} .p584{text-align: right;padding-right: 98px;margin-top: 0px;margin-bottom: 0px;} .p585{text-align: left;padding-left: 469px;margin-top: 67px;margin-bottom: 0px;} .p586{text-align: center;padding-left: 144px;padding-right: 165px;margin-top: 28px;margin-bottom: 0px;} .p587{text-align: left;padding-left: 122px;padding-right: 159px;margin-top: 61px;margin-bottom: 0px;} .p588{text-align: left;margin-top: 5px;margin-bottom: 0px;} .p589{text-align: left;padding-left: 35px;padding-right: 162px;margin-top: 11px;margin-bottom: 0px;text-indent: -17px;} .p590{text-align: left;padding-left: 35px;padding-right: 125px;margin-top: 10px;margin-bottom: 0px;text-indent: -17px;} .p591{text-align: left;padding-right: 129px;margin-top: 9px;margin-bottom: 0px;} .p592{text-align: left;padding-right: 127px;margin-top: 11px;margin-bottom: 0px;} .p593{text-align: left;padding-right: 270px;margin-top: 12px;margin-bottom: 0px;} .p594{text-align: left;padding-right: 132px;margin-top: 1px;margin-bottom: 0px;} .p595{text-align: left;padding-right: 127px;margin-top: 8px;margin-bottom: 0px;} .p596{text-align: left;padding-right: 134px;margin-top: 22px;margin-bottom: 0px;} .p597{text-align: left;padding-right: 154px;margin-top: 0px;margin-bottom: 0px;} .p598{text-align: left;padding-right: 150px;margin-top: 4px;margin-bottom: 0px;} .p599{text-align: left;padding-left: 1px;padding-right: 155px;margin-top: 23px;margin-bottom: 0px;} .p600{text-align: left;padding-right: 155px;margin-top: 8px;margin-bottom: 0px;} .p601{text-align: left;padding-right: 149px;margin-top: 11px;margin-bottom: 0px;} .p602{text-align: left;padding-right: 148px;margin-top: 10px;margin-bottom: 0px;} .p603{text-align: left;padding-left: 1px;padding-right: 170px;margin-top: 8px;margin-bottom: 0px;} .p604{text-align: left;padding-right: 144px;margin-top: 4px;margin-bottom: 0px;} .p605{text-align: left;margin-top: 26px;margin-bottom: 0px;} .p606{text-align: justify;padding-left: 35px;padding-right: 128px;margin-top: 0px;margin-bottom: 0px;text-indent: -17px;} .p607{text-align: justify;padding-left: 35px;padding-right: 138px;margin-top: 11px;margin-bottom: 0px;text-indent: -17px;} .p608{text-align: justify;padding-left: 35px;padding-right: 127px;margin-top: 10px;margin-bottom: 0px;text-indent: -17px;} .p609{text-align: justify;padding-left: 35px;padding-right: 146px;margin-top: 10px;margin-bottom: 0px;text-indent: -17px;} .p610{text-align: left;padding-left: 35px;padding-right: 129px;margin-top: 11px;margin-bottom: 0px;text-indent: -17px;} .p611{text-align: left;padding-left: 35px;padding-right: 124px;margin-top: 10px;margin-bottom: 0px;text-indent: -17px;} .p612{text-align: left;padding-left: 35px;padding-right: 130px;margin-top: 9px;margin-bottom: 0px;text-indent: -17px;} .p613{text-align: left;padding-right: 133px;margin-top: 11px;margin-bottom: 0px;} .p614{text-align: left;padding-right: 129px;margin-top: 4px;margin-bottom: 0px;} .p615{text-align: left;padding-right: 126px;margin-top: 11px;margin-bottom: 0px;} .p616{text-align: left;padding-right: 127px;margin-top: 23px;margin-bottom: 0px;} .p617{text-align: left;padding-right: 156px;margin-top: 0px;margin-bottom: 0px;} .p618{text-align: justify;padding-left: 1px;padding-right: 145px;margin-top: 12px;margin-bottom: 0px;} .p619{text-align: left;padding-left: 1px;padding-right: 148px;margin-top: 0px;margin-bottom: 0px;} .p620{text-align: left;padding-left: 1px;padding-right: 143px;margin-top: 11px;margin-bottom: 0px;} .p621{text-align: left;padding-right: 148px;margin-top: 9px;margin-bottom: 0px;} .p622{text-align: left;padding-left: 1px;padding-right: 149px;margin-top: 9px;margin-bottom: 0px;} .p623{text-align: left;padding-right: 144px;margin-top: 12px;margin-bottom: 0px;} .p624{text-align: left;padding-right: 151px;margin-top: 4px;margin-bottom: 0px;} .p625{text-align: left;padding-right: 149px;margin-top: 9px;margin-bottom: 0px;} .p626{text-align: left;padding-right: 145px;margin-top: 9px;margin-bottom: 0px;} .p627{text-align: left;padding-right: 144px;margin-top: 14px;margin-bottom: 0px;} .p628{text-align: justify;padding-right: 134px;margin-top: 3px;margin-bottom: 0px;} .p629{text-align: left;padding-right: 125px;margin-top: 9px;margin-bottom: 0px;} .p630{text-align: left;padding-right: 129px;margin-top: 10px;margin-bottom: 0px;} .p631{text-align: left;padding-right: 125px;margin-top: 10px;margin-bottom: 0px;} .p632{text-align: left;padding-right: 131px;margin-top: 7px;margin-bottom: 0px;} .p633{text-align: left;padding-right: 124px;margin-top: 9px;margin-bottom: 0px;} .p634{text-align: left;padding-right: 134px;margin-top: 10px;margin-bottom: 0px;} .p635{text-align: left;padding-right: 127px;margin-top: 1px;margin-bottom: 0px;} .p636{text-align: left;padding-right: 145px;margin-top: 0px;margin-bottom: 0px;} .p637{text-align: left;padding-right: 149px;margin-top: 8px;margin-bottom: 0px;} .p638{text-align: justify;padding-right: 160px;margin-top: 7px;margin-bottom: 0px;} .p639{text-align: left;padding-right: 143px;margin-top: 4px;margin-bottom: 0px;} .p640{text-align: left;padding-right: 153px;margin-top: 23px;margin-bottom: 0px;} .p641{text-align: left;padding-right: 144px;margin-top: 9px;margin-bottom: 0px;} .p642{text-align: justify;margin-top: 70px;margin-bottom: 0px;} .p643{text-align: left;padding-left: 18px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p644{text-align: left;padding-left: 3px;margin-top: 0px;margin-bottom: 0px;white-space: nowrap;} .p645{text-align: left;padding-left: 8px;padding-right: 499px;margin-top: 0px;margin-bottom: 0px;} .p646{text-align: left;padding-left: 153px;margin-top: 47px;margin-bottom: 0px;} .p647{text-align: left;padding-right: 120px;margin-top: 66px;margin-bottom: 0px;} .p648{text-align: left;padding-right: 130px;margin-top: 0px;margin-bottom: 0px;} .p649{text-align: left;padding-left: 28px;padding-right: 128px;margin-top: 12px;margin-bottom: 0px;} .p650{text-align: left;padding-right: 125px;margin-top: 26px;margin-bottom: 0px;} .p651{text-align: left;padding-right: 202px;margin-top: 8px;margin-bottom: 0px;} .p652{text-align: justify;padding-left: 18px;margin-top: 0px;margin-bottom: 0px;} .p653{text-align: justify;padding-left: 18px;margin-top: 2px;margin-bottom: 0px;} .p654{text-align: justify;padding-left: 35px;padding-right: 158px;margin-top: 3px;margin-bottom: 0px;text-indent: -17px;} .p655{text-align: left;padding-right: 144px;margin-top: 11px;margin-bottom: 0px;} .p656{text-align: justify;padding-right: 150px;margin-top: 9px;margin-bottom: 0px;} .p657{text-align: left;padding-right: 159px;margin-top: 10px;margin-bottom: 0px;} .p658{text-align: left;padding-right: 145px;margin-top: 8px;margin-bottom: 0px;} .p659{text-align: left;padding-right: 172px;margin-top: 38px;margin-bottom: 0px;} .p660{text-align: left;padding-right: 146px;margin-top: 3px;margin-bottom: 0px;} .p661{text-align: left;padding-right: 128px;margin-top: 11px;margin-bottom: 0px;} .p662{text-align: left;padding-right: 126px;padding-top: 1px;margin-top: 0px;margin-bottom: 0px;} .p663{text-align: left;padding-right: 140px;margin-top: 9px;margin-bottom: 0px;} .p664{text-align: left;padding-right: 141px;padding-top: 1px;margin-top: 6px;margin-bottom: 0px;} .p665{text-align: left;padding-right: 133px;margin-top: 24px;margin-bottom: 0px;} .p666{text-align: justify;margin-top: 21px;margin-bottom: 0px;} .p667{text-align: left;padding-right: 142px;margin-top: 0px;margin-bottom: 0px;} .p668{text-align: left;padding-right: 142px;margin-top: 4px;margin-bottom: 0px;} .p669{text-align: left;padding-right: 145px;margin-top: 26px;margin-bottom: 0px;} .p670{text-align: justify;padding-right: 156px;margin-top: 12px;margin-bottom: 0px;} .p671{text-align: left;padding-right: 146px;margin-top: 9px;margin-bottom: 0px;} .p672{text-align: left;padding-right: 156px;margin-top: 23px;margin-bottom: 0px;} .p673{text-align: left;padding-right: 151px;margin-top: 9px;margin-bottom: 0px;} .p674{text-align: left;padding-right: 167px;margin-top: 9px;margin-bottom: 0px;} .p675{text-align: justify;padding-right: 149px;margin-top: 11px;margin-bottom: 0px;} .p676{text-align: justify;padding-right: 150px;margin-top: 11px;margin-bottom: 0px;} .p677{text-align: left;padding-right: 123px;padding-top: 1px;margin-top: 0px;margin-bottom: 0px;} .p678{text-align: justify;padding-right: 128px;margin-top: 8px;margin-bottom: 0px;} .p679{text-align: left;padding-right: 137px;margin-top: 11px;margin-bottom: 0px;} .p680{text-align: left;padding-right: 174px;margin-top: 66px;margin-bottom: 0px;} .p681{text-align: left;margin-top: 99px;margin-bottom: 0px;} .p682{text-align: left;padding-right: 150px;margin-top: 5px;margin-bottom: 0px;} .p683{text-align: justify;padding-left: 18px;margin-top: 9px;margin-bottom: 0px;} .p684{text-align: justify;padding-left: 18px;margin-top: 3px;margin-bottom: 0px;} .p685{text-align: left;padding-left: 35px;padding-right: 156px;margin-top: 2px;margin-bottom: 0px;text-indent: -17px;} .p686{text-align: justify;padding-left: 35px;padding-right: 158px;margin-top: 0px;margin-bottom: 0px;text-indent: -17px;} .p687{text-align: justify;padding-left: 35px;padding-right: 175px;margin-top: 2px;margin-bottom: 0px;text-indent: -17px;} .p688{text-align: justify;padding-left: 35px;padding-right: 176px;margin-top: 2px;margin-bottom: 0px;text-indent: -17px;} .p689{text-align: left;padding-right: 146px;margin-top: 10px;margin-bottom: 0px;} .p690{text-align: left;margin-top: 23px;margin-bottom: 0px;} .p691{text-align: left;margin-top: 4px;margin-bottom: 0px;} .p692{text-align: left;padding-right: 147px;margin-top: 11px;margin-bottom: 0px;} .p693{text-align: left;padding-right: 159px;margin-top: 11px;margin-bottom: 0px;} .p694{text-align: justify;padding-right: 162px;margin-top: 9px;margin-bottom: 0px;} .p695{text-align: justify;padding-left: 35px;padding-right: 145px;margin-top: 0px;margin-bottom: 0px;text-indent: -17px;} .p696{text-align: left;margin-top: 21px;margin-bottom: 0px;} .p697{text-align: left;padding-left: 35px;padding-right: 136px;margin-top: 11px;margin-bottom: 0px;text-indent: -17px;} .p698{text-align: justify;padding-left: 35px;padding-right: 133px;margin-top: 0px;margin-bottom: 0px;text-indent: -17px;} .p699{text-align: justify;padding-left: 18px;margin-top: 12px;margin-bottom: 0px;} .p700{text-align: justify;padding-left: 35px;padding-right: 226px;margin-top: 0px;margin-bottom: 0px;text-indent: -17px;} .p701{text-align: justify;padding-left: 35px;padding-right: 127px;margin-top: 0px;margin-bottom: 0px;text-indent: -17px;} .p702{text-align: justify;padding-left: 35px;padding-right: 140px;margin-top: 0px;margin-bottom: 0px;text-indent: -17px;} .p703{text-align: justify;padding-left: 35px;padding-right: 129px;margin-top: 1px;margin-bottom: 0px;text-indent: -17px;} .p704{text-align: left;padding-left: 35px;padding-right: 148px;margin-top: 0px;margin-bottom: 0px;text-indent: -17px;} .p705{text-align: left;padding-left: 3px;margin-top: 21px;margin-bottom: 0px;} .p706{text-align: justify;padding-left: 35px;padding-right: 129px;margin-top: 0px;margin-bottom: 0px;text-indent: -17px;} .p707{text-align: justify;padding-left: 35px;padding-right: 154px;margin-top: 1px;margin-bottom: 0px;text-indent: -17px;} .p708{text-align: justify;padding-left: 35px;padding-right: 125px;margin-top: 0px;margin-bottom: 0px;text-indent: -17px;} .p709{text-align: left;padding-left: 35px;padding-right: 127px;margin-top: 0px;margin-bottom: 0px;text-indent: -17px;} .p710{text-align: justify;padding-left: 35px;padding-right: 143px;margin-top: 11px;margin-bottom: 0px;text-indent: -17px;} .p711{text-align: left;padding-left: 3px;margin-top: 22px;margin-bottom: 0px;} .p712{text-align: justify;padding-left: 35px;padding-right: 165px;margin-top: 11px;margin-bottom: 0px;text-indent: -17px;} .p713{text-align: justify;padding-left: 35px;padding-right: 160px;margin-top: 0px;margin-bottom: 0px;text-indent: -17px;} .p714{text-align: left;padding-left: 18px;margin-top: 4px;margin-bottom: 0px;} .p715{text-align: left;padding-right: 173px;margin-top: 22px;margin-bottom: 0px;} .p716{text-align: left;padding-right: 192px;margin-top: 0px;margin-bottom: 0px;} .p717{text-align: left;padding-right: 137px;margin-top: 4px;margin-bottom: 0px;} .p718{text-align: left;padding-right: 129px;margin-top: 8px;margin-bottom: 0px;} .p719{text-align: left;padding-right: 130px;margin-top: 24px;margin-bottom: 0px;} .p720{text-align: left;padding-right: 125px;margin-top: 22px;margin-bottom: 0px;} .p721{text-align: left;padding-right: 125px;margin-top: 24px;margin-bottom: 0px;} .p722{text-align: left;padding-right: 139px;margin-top: 12px;margin-bottom: 0px;} .p723{text-align: left;padding-right: 137px;margin-top: 9px;margin-bottom: 0px;} .p724{text-align: left;padding-right: 143px;margin-top: 10px;margin-bottom: 0px;} .p725{text-align: left;padding-right: 148px;margin-top: 0px;margin-bottom: 0px;} .p726{text-align: left;padding-right: 150px;margin-top: 8px;margin-bottom: 0px;} .p727{text-align: left;padding-right: 143px;margin-top: 23px;margin-bottom: 0px;} .p728{text-align: justify;padding-right: 151px;margin-top: 9px;margin-bottom: 0px;} .p729{text-align: justify;padding-left: 1px;padding-right: 169px;margin-top: 0px;margin-bottom: 0px;text-indent: -1px;} .p730{text-align: left;padding-right: 130px;padding-top: 1px;margin-top: 0px;margin-bottom: 0px;} .p731{text-align: left;padding-right: 124px;padding-top: 1px;margin-top: 7px;margin-bottom: 0px;} .p732{text-align: left;padding-right: 137px;margin-top: 22px;margin-bottom: 0px;} .p733{text-align: left;padding-right: 154px;margin-top: 11px;margin-bottom: 0px;} .p734{text-align: left;padding-right: 133px;margin-top: 3px;margin-bottom: 0px;} .p735{text-align: left;padding-right: 123px;padding-top: 1px;margin-top: 7px;margin-bottom: 0px;} .p736{text-align: justify;margin-top: 71px;margin-bottom: 0px;} .p737{text-align: justify;padding-right: 157px;margin-top: 0px;margin-bottom: 0px;} .p738{text-align: left;padding-right: 183px;padding-top: 1px;margin-top: 0px;margin-bottom: 0px;} .p739{text-align: left;padding-right: 142px;margin-top: 11px;margin-bottom: 0px;} .p740{text-align: left;padding-right: 166px;margin-top: 3px;margin-bottom: 0px;} .p741{text-align: left;padding-left: 1px;padding-right: 144px;padding-top: 1px;margin-top: 11px;margin-bottom: 0px;} .p742{text-align: left;padding-left: 1px;padding-right: 163px;margin-top: 9px;margin-bottom: 0px;} .p743{text-align: left;padding-left: 1px;padding-right: 160px;margin-top: 12px;margin-bottom: 0px;} .p744{text-align: left;padding-left: 1px;padding-right: 147px;margin-top: 9px;margin-bottom: 0px;} .p745{text-align: left;padding-left: 1px;padding-right: 153px;margin-top: 9px;margin-bottom: 0px;} .p746{text-align: left;padding-left: 1px;margin-top: 10px;margin-bottom: 0px;} .p747{text-align: left;padding-left: 1px;padding-right: 191px;margin-top: 3px;margin-bottom: 0px;} .p748{text-align: left;padding-left: 1px;padding-right: 152px;margin-top: 9px;margin-bottom: 0px;} .p749{text-align: justify;padding-left: 1px;padding-right: 180px;margin-top: 45px;margin-bottom: 0px;text-indent: -1px;} .p750{text-align: left;padding-right: 124px;margin-top: 3px;margin-bottom: 0px;} .p751{text-align: left;padding-right: 131px;margin-top: 12px;margin-bottom: 0px;} .p752{text-align: left;padding-right: 127px;margin-top: 24px;margin-bottom: 0px;} .p753{text-align: left;padding-right: 126px;margin-top: 25px;margin-bottom: 0px;} .p754{text-align: left;padding-right: 136px;margin-top: 9px;margin-bottom: 0px;} .p755{text-align: left;padding-right: 123px;margin-top: 4px;margin-bottom: 0px;} .p756{text-align: left;padding-right: 135px;margin-top: 23px;margin-bottom: 0px;} .p757{text-align: left;padding-right: 147px;margin-top: 3px;margin-bottom: 0px;} .p758{text-align: left;padding-right: 147px;margin-top: 9px;margin-bottom: 0px;} .p759{text-align: left;padding-right: 147px;margin-top: 8px;margin-bottom: 0px;} .p760{text-align: left;padding-right: 154px;margin-top: 27px;margin-bottom: 0px;} .p761{text-align: left;padding-right: 130px;margin-top: 3px;margin-bottom: 0px;} .p762{text-align: left;padding-right: 124px;margin-top: 24px;margin-bottom: 0px;} .p763{text-align: left;padding-right: 134px;margin-top: 9px;margin-bottom: 0px;} .p764{text-align: left;padding-right: 125px;padding-top: 1px;margin-top: 24px;margin-bottom: 0px;} .p765{text-align: left;padding-right: 132px;margin-top: 9px;margin-bottom: 0px;} .p766{text-align: left;padding-right: 152px;margin-top: 263px;margin-bottom: 0px;} .p767{text-align: left;padding-left: 1px;padding-right: 173px;margin-top: 14px;margin-bottom: 0px;} .p768{text-align: left;padding-right: 148px;margin-top: 12px;margin-bottom: 0px;} .p769{text-align: left;padding-right: 152px;margin-top: 36px;margin-bottom: 0px;} .p770{text-align: justify;margin-top: 12px;margin-bottom: 0px;} .p771{text-align: justify;padding-left: 18px;padding-right: 164px;margin-top: 2px;margin-bottom: 0px;text-indent: -17px;} .p772{text-align: justify;padding-left: 1px;margin-top: 2px;margin-bottom: 0px;} .p773{text-align: justify;padding-left: 1px;margin-top: 1px;margin-bottom: 0px;} .p774{text-align: left;padding-left: 1px;padding-right: 145px;margin-top: 12px;margin-bottom: 0px;} .p775{text-align: left;padding-left: 1px;padding-right: 149px;margin-top: 12px;margin-bottom: 0px;} .p776{text-align: left;padding-left: 1px;margin-top: 9px;margin-bottom: 0px;} .p777{text-align: left;padding-left: 1px;padding-right: 174px;margin-top: 11px;margin-bottom: 0px;} .p778{text-align: justify;padding-left: 18px;padding-right: 134px;margin-top: 2px;margin-bottom: 0px;text-indent: -18px;} .p779{text-align: justify;margin-top: 1px;margin-bottom: 0px;} .p780{text-align: left;padding-right: 138px;margin-top: 12px;margin-bottom: 0px;} .p781{text-align: left;padding-right: 133px;margin-top: 12px;margin-bottom: 0px;} .p782{text-align: left;padding-right: 152px;margin-top: 11px;margin-bottom: 0px;} .p783{text-align: left;padding-right: 130px;margin-top: 11px;margin-bottom: 0px;} .p784{text-align: left;padding-right: 130px;margin-top: 12px;margin-bottom: 0px;} .p785{text-align: left;padding-right: 151px;margin-top: 12px;margin-bottom: 0px;} .p786{text-align: justify;padding-right: 151px;margin-top: 0px;margin-bottom: 0px;} .p787{text-align: left;padding-left: 1px;padding-right: 152px;margin-top: 11px;margin-bottom: 0px;} .p788{text-align: left;padding-left: 1px;padding-right: 146px;margin-top: 11px;margin-bottom: 0px;} .p789{text-align: left;padding-left: 1px;padding-right: 161px;margin-top: 8px;margin-bottom: 0px;} .p790{text-align: left;padding-left: 18px;padding-right: 143px;margin-top: 11px;margin-bottom: 0px;text-indent: -17px;} .p791{text-align: justify;padding-left: 1px;margin-top: 0px;margin-bottom: 0px;} .p792{text-align: justify;padding-left: 18px;padding-right: 169px;margin-top: 2px;margin-bottom: 0px;text-indent: -17px;} .p793{text-align: justify;padding-left: 1px;padding-right: 181px;margin-top: 12px;margin-bottom: 0px;} .p794{text-align: left;padding-left: 1px;padding-right: 148px;margin-top: 9px;margin-bottom: 0px;} .p795{text-align: left;padding-left: 1px;padding-right: 147px;margin-top: 8px;margin-bottom: 0px;} .p796{text-align: justify;padding-left: 18px;padding-right: 170px;margin-top: 0px;margin-bottom: 0px;text-indent: -18px;} .p797{text-align: justify;padding-left: 18px;padding-right: 140px;margin-top: 11px;margin-bottom: 0px;text-indent: -18px;} .p798{text-align: justify;padding-left: 18px;padding-right: 129px;margin-top: 11px;margin-bottom: 0px;text-indent: -18px;} .p799{text-align: left;padding-right: 134px;margin-top: 11px;margin-bottom: 0px;} .p800{text-align: left;padding-left: 76px;padding-right: 156px;margin-top: 31px;margin-bottom: 0px;} .p801{text-align: justify;padding-left: 76px;padding-right: 127px;margin-top: 148px;margin-bottom: 0px;} .p802{text-align: justify;padding-left: 76px;padding-right: 133px;margin-top: 1px;margin-bottom: 0px;text-indent: 19px;} .p803{text-align: left;padding-left: 76px;margin-top: 34px;margin-bottom: 0px;} .p804{text-align: justify;padding-left: 76px;padding-right: 128px;margin-top: 13px;margin-bottom: 0px;} .p805{text-align: left;padding-left: 66px;padding-right: 70px;margin-top: 17px;margin-bottom: 0px;} .p806{text-align: left;padding-left: 9px;padding-right: 142px;margin-top: 20px;margin-bottom: 0px;} .p807{text-align: justify;padding-right: 133px;margin-top: 24px;margin-bottom: 0px;} .p808{text-align: left;padding-left: 76px;margin-top: 38px;margin-bottom: 0px;} .p809{text-align: justify;padding-left: 76px;padding-right: 85px;margin-top: 18px;margin-bottom: 0px;} .p810{text-align: justify;padding-left: 66px;padding-right: 71px;margin-top: 18px;margin-bottom: 0px;} .p811{text-align: justify;padding-left: 66px;padding-right: 76px;margin-top: 15px;margin-bottom: 0px;} .p812{text-align: justify;padding-left: 66px;padding-right: 75px;margin-top: 19px;margin-bottom: 0px;} .p813{text-align: left;padding-left: 9px;margin-top: 38px;margin-bottom: 0px;} .p814{text-align: justify;padding-right: 132px;margin-top: 24px;margin-bottom: 0px;} .p815{text-align: left;padding-left: 10px;padding-right: 4px;margin-top: 0px;margin-bottom: 0px;} .p816{text-align: justify;margin-top: 24px;margin-bottom: 0px;} .p817{text-align: justify;padding-left: 9px;padding-right: 81px;margin-top: 38px;margin-bottom: 0px;} .p818{text-align: justify;padding-left: 9px;padding-right: 81px;margin-top: 18px;margin-bottom: 0px;} .p819{text-align: justify;padding-right: 71px;margin-top: 24px;margin-bottom: 0px;} .p820{text-align: justify;padding-right: 67px;margin-top: 18px;margin-bottom: 0px;} .p821{text-align: justify;padding-right: 71px;margin-top: 19px;margin-bottom: 0px;} .p822{text-align: left;padding-left: 10px;margin-top: 0px;margin-bottom: 0px;} .p823{text-align: justify;padding-left: 10px;padding-right: 85px;margin-top: 18px;margin-bottom: 0px;} .p824{text-align: left;padding-right: 71px;margin-top: 24px;margin-bottom: 0px;} .p825{text-align: justify;padding-left: 6px;margin-top: 0px;margin-bottom: 0px;} .p826{text-align: left;padding-left: 17px;padding-right: 27px;margin-top: 0px;margin-bottom: 0px;} .p827{text-align: justify;padding-left: 5px;margin-top: 1px;margin-bottom: 0px;} .p828{text-align: justify;padding-left: 17px;margin-top: 1px;margin-bottom: 0px;} .p829{text-align: left;padding-left: 17px;padding-right: 23px;margin-top: 3px;margin-bottom: 0px;text-indent: -12px;} .p830{text-align: justify;padding-left: 5px;margin-top: 3px;margin-bottom: 0px;} .p831{text-align: justify;padding-left: 5px;margin-top: 2px;margin-bottom: 0px;} .p832{text-align: justify;padding-left: 17px;padding-right: 28px;margin-top: 0px;margin-bottom: 0px;} .p833{text-align: justify;padding-left: 6px;margin-top: 2px;margin-bottom: 0px;} .p834{text-align: justify;padding-left: 17px;padding-right: 23px;margin-top: 2px;margin-bottom: 0px;text-indent: -12px;} .p835{text-align: justify;padding-left: 17px;margin-top: 0px;margin-bottom: 0px;} .p836{text-align: justify;margin-top: 2px;margin-bottom: 0px;} .p837{text-align: left;padding-left: 17px;padding-right: 26px;margin-top: 3px;margin-bottom: 0px;text-indent: -16px;} .p838{text-align: left;padding-left: 17px;padding-right: 33px;margin-top: 2px;margin-bottom: 0px;text-indent: -17px;} .p839{text-align: left;padding-left: 17px;padding-right: 47px;margin-top: 1px;margin-bottom: 0px;text-indent: -16px;} .p840{text-align: justify;padding-left: 17px;margin-top: 2px;margin-bottom: 0px;} .p841{text-align: left;padding-left: 17px;padding-right: 26px;margin-top: 3px;margin-bottom: 0px;text-indent: -17px;} .p842{text-align: justify;padding-left: 17px;padding-right: 32px;margin-top: 1px;margin-bottom: 0px;text-indent: -17px;} .p843{text-align: justify;padding-left: 17px;padding-right: 24px;margin-top: 2px;margin-bottom: 0px;text-indent: -16px;} .p844{text-align: justify;padding-left: 17px;padding-right: 22px;margin-top: 3px;margin-bottom: 0px;text-indent: -16px;} .p845{text-align: justify;padding-left: 17px;padding-right: 36px;margin-top: 1px;margin-bottom: 0px;text-indent: -17px;} .p846{text-align: justify;padding-left: 17px;padding-right: 35px;margin-top: 2px;margin-bottom: 0px;text-indent: -17px;} .p847{text-align: justify;padding-left: 17px;padding-right: 161px;margin-top: 1px;margin-bottom: 0px;} .p848{text-align: left;margin-top: 17px;margin-bottom: 0px;} .p849{text-align: left;padding-right: 31px;margin-top: 1px;margin-bottom: 0px;text-indent: 17px;} .p850{text-align: left;padding-left: 17px;padding-right: 28px;margin-top: 2px;margin-bottom: 0px;text-indent: -16px;} .p851{text-align: left;margin-top: 18px;margin-bottom: 0px;} .p852{text-align: left;padding-left: 17px;padding-right: 27px;margin-top: 1px;margin-bottom: 0px;} .p853{text-align: left;padding-right: 58px;margin-top: 0px;margin-bottom: 0px;text-indent: 17px;} .p854{text-align: left;padding-left: 17px;padding-right: 16px;margin-top: 1px;margin-bottom: 0px;} .p855{text-align: justify;padding-left: 17px;padding-right: 16px;margin-top: 2px;margin-bottom: 0px;text-indent: -16px;} .p856{text-align: left;padding-left: 17px;padding-right: 24px;margin-top: 3px;margin-bottom: 0px;text-indent: -16px;} .p857{text-align: left;padding-left: 17px;padding-right: 48px;margin-top: 1px;margin-bottom: 0px;text-indent: -16px;} .p858{text-align: justify;padding-left: 17px;padding-right: 209px;margin-top: 2px;margin-bottom: 0px;text-indent: -16px;} .p859{text-align: left;padding-left: 17px;padding-right: 192px;margin-top: 2px;margin-bottom: 0px;text-indent: -16px;} .p860{text-align: left;padding-left: 17px;padding-right: 167px;margin-top: 3px;margin-bottom: 0px;text-indent: -16px;} .p861{text-align: left;padding-left: 17px;padding-right: 196px;margin-top: 2px;margin-bottom: 0px;text-indent: -16px;} .td0{padding: 0px;margin: 0px;width: 112px;vertical-align: bottom;} .td1{padding: 0px;margin: 0px;width: 304px;vertical-align: bottom;} .td2{padding: 0px;margin: 0px;width: 69px;vertical-align: bottom;} .td3{padding: 0px;margin: 0px;width: 43px;vertical-align: bottom;} .td4{padding: 0px;margin: 0px;width: 396px;vertical-align: bottom;} .td5{padding: 0px;margin: 0px;width: 20px;vertical-align: bottom;} .td6{padding: 0px;margin: 0px;width: 21px;vertical-align: bottom;} .td7{padding: 0px;margin: 0px;width: 375px;vertical-align: bottom;} .td8{padding: 0px;margin: 0px;width: 366px;vertical-align: bottom;} .td9{padding: 0px;margin: 0px;width: 15px;vertical-align: bottom;} .td10{padding: 0px;margin: 0px;width: 18px;vertical-align: bottom;} .td11{padding: 0px;margin: 0px;width: 380px;vertical-align: bottom;} .td12{padding: 0px;margin: 0px;width: 51px;vertical-align: bottom;} .td13{padding: 0px;margin: 0px;width: 329px;vertical-align: bottom;} .td14{padding: 0px;margin: 0px;width: 415px;vertical-align: bottom;} .td15{padding: 0px;margin: 0px;width: 67px;vertical-align: bottom;} .td16{padding: 0px;margin: 0px;width: 19px;vertical-align: bottom;} .td17{padding: 0px;margin: 0px;width: 379px;vertical-align: bottom;} .td18{padding: 0px;margin: 0px;width: 328px;vertical-align: bottom;} .td19{padding: 0px;margin: 0px;width: 16px;vertical-align: bottom;} .td20{padding: 0px;margin: 0px;width: 36px;vertical-align: bottom;} .td21{padding: 0px;margin: 0px;width: 330px;vertical-align: bottom;} .td22{padding: 0px;margin: 0px;width: 400px;vertical-align: bottom;} .td23{padding: 0px;margin: 0px;width: 87px;vertical-align: bottom;} .td24{padding: 0px;margin: 0px;width: 325px;vertical-align: bottom;} .td25{padding: 0px;margin: 0px;width: 393px;vertical-align: bottom;} .td26{padding: 0px;margin: 0px;width: 22px;vertical-align: bottom;} .td27{padding: 0px;margin: 0px;width: 324px;vertical-align: bottom;} .td28{padding: 0px;margin: 0px;width: 9px;vertical-align: bottom;} .td29{padding: 0px;margin: 0px;width: 65px;vertical-align: bottom;} .td30{padding: 0px;margin: 0px;width: 315px;vertical-align: bottom;} .td31{padding: 0px;margin: 0px;width: 27px;vertical-align: bottom;} .td32{padding: 0px;margin: 0px;width: 373px;vertical-align: bottom;} .td33{padding: 0px;margin: 0px;width: 24px;vertical-align: bottom;} .td34{padding: 0px;margin: 0px;width: 322px;vertical-align: bottom;} .td35{padding: 0px;margin: 0px;width: 371px;vertical-align: bottom;} .td36{padding: 0px;margin: 0px;width: 26px;vertical-align: bottom;} .td37{padding: 0px;margin: 0px;width: 320px;vertical-align: bottom;} .td38{padding: 0px;margin: 0px;width: 358px;vertical-align: bottom;} .td39{padding: 0px;margin: 0px;width: 372px;vertical-align: bottom;} .td40{padding: 0px;margin: 0px;width: 0px;vertical-align: bottom;} .td41{padding: 0px;margin: 0px;width: 25px;vertical-align: bottom;} .td42{padding: 0px;margin: 0px;width: 392px;vertical-align: bottom;} .td43{padding: 0px;margin: 0px;width: 70px;vertical-align: bottom;} .td44{padding: 0px;margin: 0px;width: 364px;vertical-align: bottom;} .td45{padding: 0px;margin: 0px;width: 44px;vertical-align: bottom;} .td46{padding: 0px;margin: 0px;width: 30px;vertical-align: bottom;} .td47{padding: 0px;margin: 0px;width: 362px;vertical-align: bottom;} .td48{padding: 0px;margin: 0px;width: 56px;vertical-align: bottom;} .td49{padding: 0px;margin: 0px;width: 336px;vertical-align: bottom;} .td50{padding: 0px;margin: 0px;width: 410px;vertical-align: bottom;} .td51{padding: 0px;margin: 0px;width: 77px;vertical-align: bottom;} .td52{padding: 0px;margin: 0px;width: 359px;vertical-align: bottom;} .td53{padding: 0px;margin: 0px;width: 128px;vertical-align: bottom;} .td54{padding: 0px;margin: 0px;width: 234px;vertical-align: bottom;} .td55{padding: 0px;margin: 0px;width: 62px;vertical-align: bottom;} .td56{padding: 0px;margin: 0px;width: 46px;vertical-align: bottom;} .td57{padding: 0px;margin: 0px;width: 74px;vertical-align: bottom;} .td58{padding: 0px;margin: 0px;width: 416px;vertical-align: bottom;} .td59{padding: 0px;margin: 0px;width: 360px;vertical-align: bottom;} .td60{padding: 0px;margin: 0px;width: 86px;vertical-align: bottom;} .td61{padding: 0px;margin: 0px;width: 40px;vertical-align: bottom;} .td62{padding: 0px;margin: 0px;width: 270px;vertical-align: bottom;} .td63{padding: 0px;margin: 0px;width: 182px;vertical-align: bottom;} .td64{padding: 0px;margin: 0px;width: 94px;vertical-align: bottom;} .td65{padding: 0px;margin: 0px;width: 296px;vertical-align: bottom;} .td66{padding: 0px;margin: 0px;width: 120px;vertical-align: bottom;} .td67{padding: 0px;margin: 0px;width: 108px;vertical-align: bottom;} .td68{padding: 0px;margin: 0px;width: 126px;vertical-align: bottom;} .td69{padding: 0px;margin: 0px;width: 342px;vertical-align: bottom;} .td70{padding: 0px;margin: 0px;width: 401px;vertical-align: bottom;} .td71{padding: 0px;margin: 0px;width: 183px;vertical-align: bottom;} .td72{padding: 0px;margin: 0px;width: 368px;vertical-align: bottom;} .td73{padding: 0px;margin: 0px;width: 119px;vertical-align: bottom;} .td74{padding: 0px;margin: 0px;width: 221px;vertical-align: bottom;} .td75{padding: 0px;margin: 0px;width: 266px;vertical-align: bottom;} .td76{padding: 0px;margin: 0px;width: 335px;vertical-align: bottom;} .td77{padding: 0px;margin: 0px;width: 152px;vertical-align: bottom;} .td78{padding: 0px;margin: 0px;width: 209px;vertical-align: bottom;} .td79{padding: 0px;margin: 0px;width: 278px;vertical-align: bottom;} .td80{padding: 0px;margin: 0px;width: 369px;vertical-align: bottom;} .td81{padding: 0px;margin: 0px;width: 118px;vertical-align: bottom;} .td82{padding: 0px;margin: 0px;width: 365px;vertical-align: bottom;} .td83{padding: 0px;margin: 0px;width: 122px;vertical-align: bottom;} .td84{padding: 0px;margin: 0px;width: 448px;vertical-align: bottom;} .td85{padding: 0px;margin: 0px;width: 39px;vertical-align: bottom;} .td86{padding: 0px;margin: 0px;width: 176px;vertical-align: bottom;} .td87{padding: 0px;margin: 0px;width: 11px;vertical-align: bottom;} .td88{padding: 0px;margin: 0px;width: 35px;vertical-align: bottom;} .td89{padding: 0px;margin: 0px;width: 42px;vertical-align: bottom;} .td90{padding: 0px;margin: 0px;width: 57px;vertical-align: bottom;} .td91{padding: 0px;margin: 0px;width: 64px;vertical-align: bottom;} .tr0{height: 18px;} .tr1{height: 19px;} .tr2{height: 21px;} .tr3{height: 38px;} .tr4{height: 37px;} .tr5{height: 28px;} .tr6{height: 29px;} .tr7{height: 17px;} .tr8{height: 30px;} .tr9{height: 14px;} .tr10{height: 15px;} .tr11{height: 50px;} .tr12{height: 20px;} .tr13{height: 710px;} .tr14{height: 0px;} .tr15{height: 442px;} .tr16{height: 31px;} .tr17{height: 13px;} .tr18{height: 16px;} .tr19{height: 22px;} .tr20{height: 11px;} .tr21{height: 5px;} .tr22{height: 6px;} .tr23{height: 23px;} .tr24{height: 10px;} .tr25{height: 12px;} .t0{width: 416px;font: 15px 'Arial';} .t1{width: 416px;margin-left: 76px;margin-top: 148px;font: bold 15px 'Arial';} .t2{width: 381px;margin-left: 110px;margin-top: 2px;font: 12px 'Arial';} .t3{width: 416px;margin-left: 76px;font: 15px 'Arial';} .t4{width: 482px;font: bold 11px 'Arial';} .t5{width: 382px;margin-left: 34px;margin-top: 1px;font: 15px 'Arial';} .t6{width: 487px;font: 13px 'Arial';} .t7{width: 340px;margin-left: 75px;font: 12px 'Arial';} .t8{width: 416px;margin-top: 2px;font: 15px 'Arial';} .t9{width: 415px;margin-top: 1px;font: 15px 'Arial';} .t10{width: 416px;margin-top: 1px;font: 15px 'Arial';} .t11{width: 415px;margin-top: 31px;font: 15px 'Arial';} .t12{width: 382px;margin-left: 34px;font: 15px 'Arial';} .t13{width: 914px;font: 15px 'Arial';} .t14{width: 558px;font: 1px 'Arial';} .t15{width: 487px;font: bold 9px 'Arial';} .t16{width: 487px;font: bold 8px 'Arial';} .t17{width: 330px;margin-left: 8px;font: 9px 'Calibri';} .t18{width: 330px;margin-left: 8px;margin-top: 22px;font: 9px 'Calibri';} </STYLE> </HEAD> <BODY> <DIV id="page_1"> <DIV id="dimg1"> <INGENBILD zsrc="H3B3231x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <P class="p0 ft0">Informations- och cybersäkerhet i Sverige</P> <P class="p1 ft1">Strategi och åtgärder för säker information i staten</P> <P class="p2 ft2">Betänkande av NISU 2014</P> <P class="p3 ft2">Stockholm 2015</P> </DIV> <DIV id="id_2"> <P class="p4 ft3">SOU 2015:23</P> </DIV> </DIV> <DIV id="page_2"> <P class="p4 ft4">SOU och Ds kan köpas från Fritzes kundtjänst.</P> <P class="p5 ft4">Beställningsadress: Fritzes kundtjänst, 106 47 Stockholm</P> <P class="p6 ft4">Ordertelefon: <NOBR>08-598 191 90</NOBR></P> <P class="p5 ft4"><NOBR>E-post:</NOBR> order.fritzes@nj.se</P> <P class="p5 ft4">Webbplats: fritzes.se</P> <P class="p7 ft4">För remissutsändningar av SOU och Ds svarar Fritzes Offentliga Publikationer på uppdrag av Regeringskansliets förvaltningsavdelning.</P> <P class="p8 ft5">Svara på remiss – hur och varför.</P> <P class="p4 ft5">Statsrådsberedningen, SB PM 2003:2 (reviderad <NOBR>2009-05-02)</NOBR></P> <P class="p9 ft4">En kort handledning för dem som ska svara på remiss. Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remiss.</P> <P class="p10 ft4">Layout: Kommittéservice, Regeringskansliet.</P> <P class="p5 ft4">Omslag: Elanders Sverige AB.</P> <P class="p5 ft4">Tryck: Elanders Sverige AB, Stockholm 2015.</P> <P class="p11 ft4">ISBN <NOBR>978-91-38-24256-8</NOBR></P> <P class="p6 ft6"><SPAN class="ft4">ISSN </SPAN><NOBR>0375-250X</NOBR></P> </DIV> <DIV id="page_3"> <P class="p4 ft7">Till statsrådet Anders Ygeman</P> <P class="p12 ft8">Regeringen beslutade den 28 november 2013 (dir. 2013:110) att tillkalla en särskild utredare med uppdrag att föreslå strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och <NOBR>it-system.</NOBR></P> <P class="p13 ft8">Som särskild utredare förordnades från och med den 2 december 2013 generaldirektören Erik O. Wennerström.</P> <P class="p14 ft8">Utredningens uppdrag utökades genom tilläggsdirektiv (dir. 2014:66) beslutat den 8 maj 2014. Den särskilde utredaren fick ut- över det ursprungliga uppdraget i uppgift att undersöka de rättsliga förutsättningarna för SOS Alarm Sverige AB att inrätta och driva ett system för viktigt meddelande till allmänheten via mobil och fast telefoni vid allvarliga olyckor och kriser.</P> <P class="p15 ft9">Som sakkunniga förordnades från och med den 6 februari 2014 departementssekreteraren Ingolf Berg, Näringsdepartementet, ämnessakkunnige John Billow, Justitiedepartementet, departements- sekreteraren Andreas Dahlqvist och kanslirådet Jonas Norling, Utrikesdepartementet. Den 17 februari 2014 förordnades utrednings- chefen Lars Nicander, Försvarshögskolan, som expert i utredningen.</P> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD colspan=2 class="tr0 td0"><P class="p16 ft10">Som sakkunniga</P></TD> <TD class="tr0 td1"><P class="p17 ft10">i utredningen förordnades från och med den</P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p16 ft10">18 februari</P></TD> <TD class="tr0 td3"><P class="p18 ft10">2014</P></TD> <TD class="tr0 td1"><P class="p17 ft11">kanslirådet Henrik Moberg, Socialdepartementet</P></TD> </TR> <TR> <TD class="tr1 td2"><P class="p16 ft10">respektive</P></TD> <TD class="tr1 td3"><P class="p19 ft12">den</P></TD> <TD class="tr1 td1"><P class="p17 ft10">1 maj samma år departementssekreteraren</P></TD> </TR> </TABLE> <P class="p20 ft13">Linda Ericson, Försvarsdepartementet. John Billow entledigades från och med den 6 oktober 2014. Som sakkunniga förordnades den 10 november 2014 ämnessakkunnige Martin Munkelt, Justi- tiedepartementet och ämnessakkunnige Kristofer Jones, Försvars- departementet. Samma dag förordnades som experter säkerhets- chefen <NOBR>Anne-Marie</NOBR> Eklund Löwinder, Stiftelsen för internetinfra- struktur, juristen Victoria Ekstedt, Post- och telestyrelsen och säker- hetsansvarige Tommy Svensson, Svenskt Näringsliv.</P> </DIV> <DIV id="page_4"> <P class="p21 ft10">Utredningen har till sitt arbete knutit en referensgrupp med företrädare för olika myndigheter.</P> <P class="p22 ft8">Som sekreterare i utredningen anställdes från och med den 22 januari 2014 numera rådmannen <NOBR>Ann-Kristin</NOBR> Lidström. Med verkan från och med den 1 maj 2014 entledigades <NOBR>Ann-Kristin</NOBR> Lidström från sitt uppdrag. Som huvudsekreterare anställdes från och med den 26 maj 2014 hovrättsassessorn Pernilla Arrland. Som utrednings- sekreterare anställdes från och med den 1 juni 2014 hovrättsassessorn Margareta Sandén.</P> <P class="p23 ft10">Utredningen har antagit namnet NISU 2014.</P> <P class="p24 ft10">Den 2 januari 2015 överlämnade utredningen sitt delbetänkande</P> <P class="p25 ft14">Viktigt meddelande till allmänheten via mobil telefoni <SPAN class="ft9">(SOU 2014:92). Utredningen får härmed överlämna sitt betänkande </SPAN>Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i</P> <P class="p26 ft10"><SPAN class="ft15">staten </SPAN>(SOU 2015:23).</P> <P class="p27 ft10">Stockholm i mars 2015</P> <P class="p28 ft10">Erik O. Wennerström</P> <P class="p29 ft10">/Margareta Sandén</P> <P class="p30 ft10">Pernilla Arrland</P> </DIV> <DIV id="page_5"> <P class="p31 ft7">Innehåll</P> <TABLE cellpadding=0 cellspacing=0 class="t1"> <TR> <TD colspan=2 class="tr2 td4"><P class="p16 ft16"><A href="#page_13">Sammanfattning ................................................................</A></P></TD> <TD class="tr2 td5"><P class="p17 ft16"><A href="#page_13">13</A></P></TD> </TR> <TR> <TD colspan=2 class="tr3 td4"><P class="p16 ft16"><A href="#page_21">Cyber security in Sweden – strategy and measures for</A></P></TD> <TD class="tr3 td5"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD colspan=2 class="tr0 td4"><P class="p16 ft18"><A href="#page_21">secure information in central government .............................</A></P></TD> <TD class="tr0 td5"><P class="p17 ft16"><A href="#page_21">21</A></P></TD> </TR> <TR> <TD class="tr3 td6"><P class="p16 ft16"><A href="#page_27">1</A></P></TD> <TD class="tr3 td7"><P class="p32 ft16"><A href="#page_27">Författningsförslag......................................................</A></P></TD> <TD class="tr3 td5"><P class="p17 ft16"><A href="#page_27">27</A></P></TD> </TR> </TABLE> <P class="p33 ft10"><SPAN class="ft12">1.1</SPAN><A href="#page_27"><SPAN class="ft19">Förslag till förordning för statliga myndigheters</SPAN></A></P> <TABLE cellpadding=0 cellspacing=0 class="t2"> <TR> <TD class="tr1 td8"><P class="p16 ft3"><A href="#page_27">informationssäkerhet ...............................................................</A></P></TD> <TD class="tr1 td9"><P class="p17 ft12"><A href="#page_27">27</A></P></TD> </TR> </TABLE> <P class="p34 ft10"><SPAN class="ft12">1.2</SPAN><A href="#page_34"><SPAN class="ft19">Förslag till förordning om ändring i</SPAN></A></P> <TABLE cellpadding=0 cellspacing=0 class="t3"> <TR> <TD class="tr1 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr1 td11"><P class="p35 ft12"><A href="#page_34">säkerhetsskyddsförordningen (1996:633) ..............................</A></P></TD> <TD class="tr1 td10"><P class="p36 ft10"><A href="#page_34">34</A></P></TD> </TR> <TR> <TD class="tr4 td10"><P class="p16 ft16"><A href="#page_35">2</A></P></TD> <TD colspan=2 class="tr4 td11"><P class="p35 ft18"><A href="#page_35">Uppdragets genomförande och begrepp ........................</A></P></TD> <TD class="tr4 td10"><P class="p17 ft16"><A href="#page_35">35</A></P></TD> </TR> <TR> <TD class="tr5 td10"><P class="p16 ft12"><A href="#page_35">2.1</A></P></TD> <TD colspan=2 class="tr5 td11"><P class="p35 ft3"><A href="#page_35">Uppdraget.................................................................................</A></P></TD> <TD class="tr5 td10"><P class="p36 ft10"><A href="#page_35">35</A></P></TD> </TR> <TR> <TD class="tr5 td10"><P class="p16 ft12"><A href="#page_35">2.2</A></P></TD> <TD colspan=2 class="tr5 td11"><P class="p35 ft3"><A href="#page_35">Uppdragets genomförande......................................................</A></P></TD> <TD class="tr5 td10"><P class="p36 ft10"><A href="#page_35">35</A></P></TD> </TR> <TR> <TD class="tr5 td10"><P class="p16 ft12"><A href="#page_36">2.3</A></P></TD> <TD colspan=2 class="tr5 td11"><P class="p35 ft12"><A href="#page_36">Utredningens inriktning..........................................................</A></P></TD> <TD class="tr5 td10"><P class="p36 ft10"><A href="#page_36">36</A></P></TD> </TR> <TR> <TD class="tr6 td10"><P class="p16 ft12"><A href="#page_40">2.4</A></P></TD> <TD colspan=2 class="tr6 td11"><P class="p35 ft3"><A href="#page_40">Klargörande av begrepp ...........................................................</A></P></TD> <TD class="tr6 td10"><P class="p36 ft10"><A href="#page_40">40</A></P></TD> </TR> <TR> <TD class="tr7 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr7 td12"><P class="p35 ft10"><A href="#page_40">2.4.1</A></P></TD> <TD class="tr7 td13"><P class="p37 ft3"><A href="#page_40">Begrepp på området......................................................</A></P></TD> <TD class="tr7 td10"><P class="p36 ft10"><A href="#page_40">40</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p35 ft10"><A href="#page_41">2.4.2</A></P></TD> <TD class="tr0 td13"><P class="p37 ft12"><A href="#page_41">Terminologiutveckling gällande cyberbegreppet........</A></P></TD> <TD class="tr0 td10"><P class="p36 ft10"><A href="#page_41">41</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p35 ft10"><A href="#page_42">2.4.3</A></P></TD> <TD class="tr0 td13"><P class="p37 ft12"><A href="#page_42">Informationssäkerhet och cybersäkerhet....................</A></P></TD> <TD class="tr0 td10"><P class="p36 ft10"><A href="#page_42">42</A></P></TD> </TR> <TR> <TD class="tr3 td10"><P class="p16 ft16"><A href="#page_45">3</A></P></TD> <TD colspan=2 class="tr3 td11"><P class="p35 ft16"><A href="#page_45">Allmänna utgångspunkter............................................</A></P></TD> <TD class="tr3 td10"><P class="p17 ft16"><A href="#page_45">45</A></P></TD> </TR> <TR> <TD class="tr5 td10"><P class="p16 ft12"><A href="#page_45">3.1</A></P></TD> <TD colspan=2 class="tr5 td11"><P class="p35 ft3"><A href="#page_45">Inledning...................................................................................</A></P></TD> <TD class="tr5 td10"><P class="p36 ft10"><A href="#page_45">45</A></P></TD> </TR> <TR> <TD class="tr5 td10"><P class="p16 ft12"><A href="#page_46">3.2</A></P></TD> <TD colspan=2 class="tr5 td11"><P class="p35 ft12"><A href="#page_46">Vilken information är värdefull för samhället ........................</A></P></TD> <TD class="tr5 td10"><P class="p36 ft10"><A href="#page_46">46</A></P></TD> </TR> <TR> <TD class="tr8 td10"><P class="p16 ft12"><A href="#page_49">3.3</A></P></TD> <TD colspan=2 class="tr8 td11"><P class="p35 ft12"><A href="#page_49">Vilken information har samhället möjlighet att skydda ........</A></P></TD> <TD class="tr8 td10"><P class="p36 ft10"><A href="#page_49">49</A></P></TD> </TR> </TABLE> <P class="p38 ft20">5</P> </DIV> <DIV id="page_6"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Innehåll</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr1 td16"><P class="p16 ft12"><A href="#page_50">3.4</A></P></TD> <TD colspan=2 class="tr1 td17"><P class="p39 ft3"><A href="#page_50">Gränssnitt där staten kan påverka ..........................................</A></P></TD> <TD class="tr1 td10"><P class="p17 ft10"><A href="#page_50">50</A></P></TD> </TR> <TR> <TD class="tr5 td16"><P class="p16 ft12"><A href="#page_51">3.5</A></P></TD> <TD colspan=2 class="tr5 td17"><P class="p39 ft3"><A href="#page_51">Statens ansvar...........................................................................</A></P></TD> <TD class="tr5 td10"><P class="p17 ft10"><A href="#page_51">51</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td17"><P class="p39 ft12"><A href="#page_53">3.5.1 Uppgifter för statliga myndigheter .............................</A></P></TD> <TD class="tr0 td10"><P class="p17 ft10"><A href="#page_53">53</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td17"><P class="p39 ft12"><A href="#page_54">3.5.2 Ett långtgående statligt ansvar.....................................</A></P></TD> <TD class="tr0 td10"><P class="p17 ft10"><A href="#page_54">54</A></P></TD> </TR> <TR> <TD class="tr4 td16"><P class="p16 ft16"><A href="#page_57">4</A></P></TD> <TD colspan=2 class="tr4 td17"><P class="p39 ft16"><A href="#page_57">Ökad digitalisering......................................................</A></P></TD> <TD class="tr4 td10"><P class="p17 ft16"><A href="#page_57">57</A></P></TD> </TR> <TR> <TD class="tr6 td16"><P class="p16 ft12"><A href="#page_57">4.1</A></P></TD> <TD colspan=2 class="tr6 td17"><P class="p39 ft12"><A href="#page_57">Ett ändrat synsätt på informationssäkerhet...........................</A></P></TD> <TD class="tr6 td10"><P class="p17 ft10"><A href="#page_57">57</A></P></TD> </TR> <TR> <TD class="tr5 td16"><P class="p16 ft12"><A href="#page_58">4.2</A></P></TD> <TD colspan=2 class="tr5 td17"><P class="p39 ft12"><A href="#page_58">En kontinuerlig teknisk utveckling ........................................</A></P></TD> <TD class="tr5 td10"><P class="p17 ft10"><A href="#page_58">58</A></P></TD> </TR> <TR> <TD class="tr5 td16"><P class="p16 ft12"><A href="#page_59">4.3</A></P></TD> <TD colspan=2 class="tr5 td17"><P class="p39 ft12"><A href="#page_59">Politiska mål för en digital tidsålder.......................................</A></P></TD> <TD class="tr5 td10"><P class="p17 ft10"><A href="#page_59">59</A></P></TD> </TR> <TR> <TD class="tr7 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr7 td12"><P class="p39 ft10"><A href="#page_59">4.3.1</A></P></TD> <TD class="tr7 td18"><P class="p37 ft3"><A href="#page_59">Digital agenda ...............................................................</A></P></TD> <TD class="tr7 td10"><P class="p17 ft10"><A href="#page_59">59</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td17"><P class="p39 ft12"><A href="#page_61">4.3.2 </A><NOBR><A href="#page_61">E-förvaltnings-strategi .................................................</A></NOBR></P></TD> <TD class="tr0 td10"><P class="p17 ft10"><A href="#page_61">61</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_62">4.3.3</A></P></TD> <TD class="tr0 td18"><P class="p37 ft3"><A href="#page_62">Bredbandsutbyggnad i Sverige.....................................</A></P></TD> <TD class="tr0 td10"><P class="p17 ft10"><A href="#page_62">62</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td17"><P class="p39 ft10"><A href="#page_63">4.3.4 Nationell eHälsa – strategin för tillgänglig och</A></P></TD> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr1 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr1 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr1 td18"><P class="p37 ft12"><A href="#page_63">säker information inom vård och omsorg ..................</A></P></TD> <TD class="tr1 td10"><P class="p17 ft10"><A href="#page_63">63</A></P></TD> </TR> <TR> <TD class="tr5 td16"><P class="p16 ft12"><A href="#page_64">4.4</A></P></TD> <TD colspan=2 class="tr5 td17"><P class="p39 ft12"><A href="#page_64">Hot och risker i en digitaliserad värld ....................................</A></P></TD> <TD class="tr5 td10"><P class="p17 ft10"><A href="#page_64">64</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_67">4.4.1</A></P></TD> <TD class="tr0 td18"><P class="p37 ft3"><NOBR><A href="#page_67">Icke-antagonistiska</A></NOBR><A href="#page_67"> hot................................................</A></P></TD> <TD class="tr0 td10"><P class="p17 ft10"><A href="#page_67">67</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_69">4.4.2</A></P></TD> <TD class="tr0 td18"><P class="p37 ft3"><A href="#page_69">Antagonistiska hot .......................................................</A></P></TD> <TD class="tr0 td10"><P class="p17 ft10"><A href="#page_69">69</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td17"><P class="p39 ft10"><A href="#page_72">4.4.3 Särskilt om hot mot industriella informations-</A></P></TD> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td18"><P class="p37 ft3"><A href="#page_72">och styrsystem m.m. ....................................................</A></P></TD> <TD class="tr0 td10"><P class="p17 ft10"><A href="#page_72">72</A></P></TD> </TR> <TR> <TD class="tr4 td16"><P class="p16 ft16"><A href="#page_75">5</A></P></TD> <TD colspan=2 class="tr4 td17"><P class="p39 ft16"><A href="#page_75">Regleringen ...............................................................</A></P></TD> <TD class="tr4 td10"><P class="p17 ft16"><A href="#page_75">75</A></P></TD> </TR> <TR> <TD class="tr6 td16"><P class="p16 ft12"><A href="#page_75">5.1</A></P></TD> <TD colspan=2 class="tr6 td17"><P class="p39 ft3"><A href="#page_75">Inledning ..................................................................................</A></P></TD> <TD class="tr6 td10"><P class="p17 ft10"><A href="#page_75">75</A></P></TD> </TR> <TR> <TD class="tr5 td16"><P class="p16 ft12"><A href="#page_75">5.2</A></P></TD> <TD colspan=2 class="tr5 td17"><P class="p39 ft3"><A href="#page_75">Övergripande reglering ...........................................................</A></P></TD> <TD class="tr5 td10"><P class="p17 ft10"><A href="#page_75">75</A></P></TD> </TR> <TR> <TD class="tr7 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr7 td12"><P class="p39 ft10"><A href="#page_75">5.2.1</A></P></TD> <TD class="tr7 td18"><P class="p37 ft12"><A href="#page_75">Tryckfrihetsförordningen............................................</A></P></TD> <TD class="tr7 td10"><P class="p17 ft10"><A href="#page_75">75</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_76">5.2.2</A></P></TD> <TD class="tr0 td18"><P class="p37 ft12"><A href="#page_76">Offentlighets- och sekretesslagen...............................</A></P></TD> <TD class="tr0 td10"><P class="p17 ft10"><A href="#page_76">76</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_78">5.2.3</A></P></TD> <TD class="tr0 td18"><P class="p37 ft3"><A href="#page_78">Personuppgiftslagen.....................................................</A></P></TD> <TD class="tr0 td10"><P class="p17 ft10"><A href="#page_78">78</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_79">5.2.4</A></P></TD> <TD class="tr0 td18"><P class="p37 ft3"><A href="#page_79">Registerförfattningar....................................................</A></P></TD> <TD class="tr0 td10"><P class="p17 ft10"><A href="#page_79">79</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_80">5.2.5</A></P></TD> <TD class="tr0 td18"><P class="p37 ft3"><A href="#page_80">Arkivlagstiftningen ......................................................</A></P></TD> <TD class="tr0 td10"><P class="p17 ft10"><A href="#page_80">80</A></P></TD> </TR> <TR> <TD class="tr2 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr2 td17"><P class="p39 ft11"><A href="#page_81">5.2.6 Lagen om elektronisk kommunikation.......................</A></P></TD> <TD class="tr2 td10"><P class="p17 ft10"><A href="#page_81">81</A></P></TD> </TR> </TABLE> <P class="p40 ft10"><SPAN class="ft12">5.3</SPAN><A href="#page_84"><SPAN class="ft22">Reglering av säkerhetsskydd, krishantering och</SPAN></A></P> <TABLE cellpadding=0 cellspacing=0 class="t5"> <TR> <TD colspan=2 class="tr0 td8"><P class="p16 ft3"><A href="#page_84">informationssäkerhetsarbete...................................................</A></P></TD> <TD class="tr0 td19"><P class="p17 ft10"><A href="#page_84">84</A></P></TD> </TR> <TR> <TD class="tr0 td20"><P class="p16 ft10"><A href="#page_84">5.3.1</A></P></TD> <TD class="tr0 td21"><P class="p37 ft3"><A href="#page_84">Säkerhetsskyddslagstiftningen ....................................</A></P></TD> <TD class="tr0 td19"><P class="p17 ft10"><A href="#page_84">84</A></P></TD> </TR> <TR> <TD class="tr0 td20"><P class="p16 ft10"><A href="#page_86">5.3.2</A></P></TD> <TD class="tr0 td21"><P class="p37 ft10"><A href="#page_86">Lagen (1992:1403) om totalförsvar och höjd</A></P></TD> <TD class="tr0 td19"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr2 td20"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr2 td21"><P class="p37 ft3"><A href="#page_86">beredskap ......................................................................</A></P></TD> <TD class="tr2 td19"><P class="p17 ft10"><A href="#page_86">86</A></P></TD> </TR> </TABLE> </DIV> <DIV id="id_3"> <P class="p4 ft20">6</P> </DIV> </DIV> <DIV id="page_7"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr10 td22"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr10 td23"><P class="p17 ft21">Innehåll</P></TD> </TR> <TR> <TD class="tr11 td22"><P class="p41 ft10"><A href="#page_87">5.3.3 Förordningen (2006:942) om krisberedskap och</A></P></TD> <TD class="tr11 td23"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td22"><P class="p42 ft10"><A href="#page_87">höjd beredskap och MSB:s föreskrifter om</A></P></TD> <TD class="tr0 td23"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td22"><P class="p42 ft12"><A href="#page_87">statliga myndigheters informationssäkerhet...............</A></P></TD> <TD class="tr0 td23"><P class="p43 ft12"><A href="#page_87">87</A></P></TD> </TR> <TR> <TD class="tr0 td22"><P class="p41 ft10"><A href="#page_88">5.3.4 Förordningen om statliga myndigheters</A></P></TD> <TD class="tr0 td23"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td22"><P class="p42 ft3"><A href="#page_88">riskhantering, m.m........................................................</A></P></TD> <TD class="tr0 td23"><P class="p43 ft12"><A href="#page_88">88</A></P></TD> </TR> </TABLE> <P class="p44 ft9"><SPAN class="ft12">5.3.5</SPAN><A href="#page_89"><SPAN class="ft23">Lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i</SPAN></A></P> <TABLE cellpadding=0 cellspacing=0 class="t7"> <TR> <TD class="tr1 td24"><P class="p16 ft3"><A href="#page_89">fredstid och höjd beredskap .........................................</A></P></TD> <TD class="tr1 td9"><P class="p17 ft12"><A href="#page_89">89</A></P></TD> </TR> </TABLE> <P class="p45 ft10"><SPAN class="ft12">5.4</SPAN><A href="#page_90"><SPAN class="ft19">Specifik reglering av brottsbekämpande och</SPAN></A></P> <TABLE cellpadding=0 cellspacing=0 class="t8"> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td11"><P class="p35 ft12"><A href="#page_90">underrättelsemyndigheters arbete på området.......................</A></P></TD> <TD class="tr0 td10"><P class="p36 ft10"><A href="#page_90">90</A></P></TD> </TR> <TR> <TD class="tr7 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr7 td12"><P class="p35 ft10"><A href="#page_90">5.4.1</A></P></TD> <TD class="tr7 td13"><P class="p37 ft3"><A href="#page_90">27 kap. rättegångsbalken ..............................................</A></P></TD> <TD class="tr7 td10"><P class="p36 ft10"><A href="#page_90">90</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p35 ft10"><A href="#page_91">5.4.2</A></P></TD> <TD class="tr0 td13"><P class="p37 ft12"><A href="#page_91">Lagen om försvarsunderrättelseverksamhet ...............</A></P></TD> <TD class="tr0 td10"><P class="p36 ft10"><A href="#page_91">91</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td11"><P class="p35 ft10"><A href="#page_91">5.4.3 Lagen om signalspaning i</A></P></TD> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr1 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr1 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr1 td13"><P class="p37 ft12"><A href="#page_91">försvarsunderrättelseverksamhet .................................</A></P></TD> <TD class="tr1 td10"><P class="p36 ft10"><A href="#page_91">91</A></P></TD> </TR> <TR> <TD class="tr5 td10"><P class="p16 ft12"><A href="#page_91">5.5</A></P></TD> <TD colspan=2 class="tr5 td11"><P class="p35 ft3"><A href="#page_91">Brottsbalken .............................................................................</A></P></TD> <TD class="tr5 td10"><P class="p36 ft10"><A href="#page_91">91</A></P></TD> </TR> <TR> <TD class="tr4 td10"><P class="p16 ft16"><A href="#page_93">6</A></P></TD> <TD colspan=2 class="tr4 td11"><P class="p35 ft16"><A href="#page_93">Myndigheter med särskilt ansvar för</A></P></TD> <TD class="tr4 td10"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr1 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr1 td11"><P class="p35 ft16"><A href="#page_93">informationssäkerhet ..................................................</A></P></TD> <TD class="tr1 td10"><P class="p17 ft16"><A href="#page_93">93</A></P></TD> </TR> </TABLE> <P class="p46 ft10"><SPAN class="ft12">6.1</SPAN><A href="#page_94"><SPAN class="ft19">Myndigheter i samverkansgruppen för</SPAN></A></P> <TABLE cellpadding=0 cellspacing=0 class="t9"> <TR> <TD colspan=2 class="tr0 td25"><P class="p41 ft3"><A href="#page_94">informationssäkerhet (SAMFI) ..............................................</A></P></TD> <TD class="tr0 td26"><P class="p17 ft10"><A href="#page_94">94</A></P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p41 ft10"><A href="#page_94">6.1.1</A></P></TD> <TD class="tr0 td27"><P class="p37 ft10"><A href="#page_94">Myndigheten för samhällsskydd och beredskap</A></P></TD> <TD class="tr0 td26"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td27"><P class="p37 ft3"><A href="#page_94">(MSB) ............................................................................</A></P></TD> <TD class="tr0 td26"><P class="p17 ft10"><A href="#page_94">94</A></P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p41 ft10"><A href="#page_98">6.1.2</A></P></TD> <TD class="tr0 td27"><P class="p37 ft3"><A href="#page_98">Post- och telestyrelsen (PTS) ......................................</A></P></TD> <TD class="tr0 td26"><P class="p17 ft10"><A href="#page_98">98</A></P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p41 ft10"><A href="#page_101">6.1.3</A></P></TD> <TD class="tr0 td27"><P class="p37 ft3"><A href="#page_101">Försvarsmakten...........................................................</A></P></TD> <TD class="tr0 td26"><P class="p17 ft12"><A href="#page_101">101</A></P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p41 ft10"><A href="#page_104">6.1.4</A></P></TD> <TD class="tr0 td27"><P class="p37 ft12"><A href="#page_104">Försvarets materielverk (FMV) .................................</A></P></TD> <TD class="tr0 td26"><P class="p17 ft12"><A href="#page_104">104</A></P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p41 ft10"><A href="#page_105">6.1.5</A></P></TD> <TD class="tr0 td27"><P class="p37 ft12"><A href="#page_105">Försvarets radioanstalt (FRA)...................................</A></P></TD> <TD class="tr0 td26"><P class="p17 ft12"><A href="#page_105">105</A></P></TD> </TR> <TR> <TD class="tr1 td2"><P class="p41 ft10"><A href="#page_109">6.1.6</A></P></TD> <TD class="tr1 td27"><P class="p37 ft3"><A href="#page_109">Polismyndigheten .......................................................</A></P></TD> <TD class="tr1 td26"><P class="p17 ft12"><A href="#page_109">109</A></P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p41 ft10"><A href="#page_110">6.1.7</A></P></TD> <TD class="tr0 td27"><P class="p37 ft3"><A href="#page_110">Säkerhetspolisen .........................................................</A></P></TD> <TD class="tr0 td26"><P class="p17 ft12"><A href="#page_110">110</A></P></TD> </TR> <TR> <TD colspan=2 class="tr5 td25"><P class="p16 ft12"><A href="#page_111">6.2 Andra statliga myndigheter och affärsverk ..........................</A></P></TD> <TD class="tr5 td26"><P class="p17 ft12"><A href="#page_111">111</A></P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p41 ft10"><A href="#page_111">6.2.1</A></P></TD> <TD class="tr0 td27"><P class="p37 ft3"><A href="#page_111">Datainspektionen........................................................</A></P></TD> <TD class="tr0 td26"><P class="p17 ft12"><A href="#page_111">111</A></P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p41 ft10"><A href="#page_112">6.2.2</A></P></TD> <TD class="tr0 td27"><P class="p37 ft10"><A href="#page_112">Styrelsen för ackreditering och teknisk kontroll</A></P></TD> <TD class="tr0 td26"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td27"><P class="p37 ft3"><A href="#page_112">(SWEDAC).................................................................</A></P></TD> <TD class="tr0 td26"><P class="p17 ft12"><A href="#page_112">112</A></P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p41 ft10"><A href="#page_113">6.2.3</A></P></TD> <TD class="tr0 td27"><P class="p37 ft3"><A href="#page_113">Svenska kraftnät..........................................................</A></P></TD> <TD class="tr0 td26"><P class="p17 ft12"><A href="#page_113">113</A></P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p41 ft10"><A href="#page_114">6.2.4</A></P></TD> <TD class="tr0 td27"><P class="p37 ft12"><A href="#page_114">Totalförsvarets forskningsinstitut .............................</A></P></TD> <TD class="tr0 td26"><P class="p17 ft12"><A href="#page_114">114</A></P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p41 ft10"><A href="#page_115">6.2.5</A></P></TD> <TD class="tr0 td27"><P class="p37 ft10"><A href="#page_115">Statens inspektion för</A></P></TD> <TD class="tr0 td26"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td2"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td27"><P class="p37 ft12"><A href="#page_115">försvarsunderrättelseverksamheten.............................</A></P></TD> <TD class="tr0 td26"><P class="p17 ft12"><A href="#page_115">115</A></P></TD> </TR> <TR> <TD class="tr12 td2"><P class="p41 ft10"><A href="#page_115">6.2.6</A></P></TD> <TD class="tr12 td27"><P class="p37 ft3"><A href="#page_115">Socialstyrelsen.............................................................</A></P></TD> <TD class="tr12 td26"><P class="p17 ft12"><A href="#page_115">115</A></P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft20">7</P> </DIV> </DIV> <DIV id="page_8"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Innehåll</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td28"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td29"><P class="p47 ft10"><A href="#page_116">6.2.7</A></P></TD> <TD class="tr0 td30"><P class="p17 ft3"><A href="#page_116">Länsstyrelserna ...........................................................</A></P></TD> <TD class="tr0 td31"><P class="p17 ft10"><A href="#page_116">116</A></P></TD> </TR> <TR> <TD class="tr0 td28"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td29"><P class="p47 ft10"><A href="#page_118">6.2.8</A></P></TD> <TD class="tr0 td30"><P class="p17 ft3"><NOBR><A href="#page_118">E-hälsomyndigheten ..................................................</A></NOBR></P></TD> <TD class="tr0 td31"><P class="p17 ft10"><A href="#page_118">118</A></P></TD> </TR> <TR> <TD class="tr0 td28"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td29"><P class="p47 ft10"><A href="#page_118">6.2.9</A></P></TD> <TD class="tr0 td30"><P class="p17 ft3"><A href="#page_118">Finansinspektionen ....................................................</A></P></TD> <TD class="tr0 td31"><P class="p17 ft10"><A href="#page_118">118</A></P></TD> </TR> <TR> <TD class="tr0 td28"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td29"><P class="p47 ft10"><A href="#page_118">6.2.10</A></P></TD> <TD class="tr0 td30"><P class="p17 ft3"><A href="#page_118">Kammarkollegiet ........................................................</A></P></TD> <TD class="tr0 td31"><P class="p17 ft10"><A href="#page_118">118</A></P></TD> </TR> <TR> <TD class="tr0 td28"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td29"><P class="p47 ft10"><A href="#page_119">6.2.11</A></P></TD> <TD class="tr0 td30"><P class="p17 ft3"><A href="#page_119">Försvarshögskolan .....................................................</A></P></TD> <TD class="tr0 td31"><P class="p17 ft10"><A href="#page_119">119</A></P></TD> </TR> <TR> <TD class="tr0 td28"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td29"><P class="p47 ft10"><A href="#page_121">6.2.12</A></P></TD> <TD class="tr0 td30"><P class="p17 ft12"><NOBR><A href="#page_121">E-legitimationsnämnden............................................</A></NOBR></P></TD> <TD class="tr0 td31"><P class="p17 ft10"><A href="#page_121">121</A></P></TD> </TR> <TR> <TD class="tr1 td28"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr1 td29"><P class="p47 ft10"><A href="#page_121">6.2.13</A></P></TD> <TD class="tr1 td30"><P class="p17 ft3"><NOBR><A href="#page_121">E-delegationen............................................................</A></NOBR></P></TD> <TD class="tr1 td31"><P class="p17 ft10"><A href="#page_121">121</A></P></TD> </TR> <TR> <TD class="tr0 td28"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td11"><P class="p17 ft12"><A href="#page_123">6.2.14 Riksarkivet ..................................................................</A></P></TD> <TD class="tr0 td31"><P class="p17 ft10"><A href="#page_123">123</A></P></TD> </TR> <TR> <TD class="tr4 td28"><P class="p17 ft16"><A href="#page_125">7</A></P></TD> <TD colspan=2 class="tr4 td11"><P class="p47 ft18"><A href="#page_125">Samhällets informationssäkerhet................................</A></P></TD> <TD class="tr4 td31"><P class="p17 ft16"><A href="#page_125">125</A></P></TD> </TR> </TABLE> <P class="p48 ft10"><SPAN class="ft12">7.1</SPAN><A href="#page_125"><SPAN class="ft22">Politiska mål för Sveriges säkerhet och samhällets</SPAN></A></P> <TABLE cellpadding=0 cellspacing=0 class="t10"> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td32"><P class="p39 ft3"><A href="#page_125">krisberedskap .........................................................................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_125">125</A></P></TD> </TR> <TR> <TD class="tr5 td16"><P class="p17 ft12"><A href="#page_127">7.2</A></P></TD> <TD colspan=2 class="tr5 td32"><P class="p39 ft3"><A href="#page_127">Arbete i Regeringskansliet ....................................................</A></P></TD> <TD class="tr5 td33"><P class="p17 ft10"><A href="#page_127">127</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_128">7.2.1</A></P></TD> <TD class="tr0 td34"><P class="p37 ft12"><A href="#page_128">Departementens beskrivningar..................................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_128">128</A></P></TD> </TR> <TR> <TD class="tr5 td16"><P class="p17 ft12"><A href="#page_135">7.3</A></P></TD> <TD colspan=2 class="tr5 td32"><P class="p39 ft12"><A href="#page_135">Uppdrag från regeringen.......................................................</A></P></TD> <TD class="tr5 td33"><P class="p17 ft10"><A href="#page_135">135</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_135">7.3.1</A></P></TD> <TD class="tr0 td34"><P class="p37 ft12"><A href="#page_135">Utredningsdirektiv.....................................................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_135">135</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_136">7.3.2</A></P></TD> <TD class="tr0 td34"><P class="p37 ft12"><A href="#page_136">Regeringsuppdrag till myndigheter...........................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_136">136</A></P></TD> </TR> <TR> <TD class="tr5 td16"><P class="p17 ft12"><A href="#page_141">7.4</A></P></TD> <TD colspan=2 class="tr5 td32"><P class="p39 ft3"><A href="#page_141">Aktuella undersökningar.......................................................</A></P></TD> <TD class="tr5 td33"><P class="p17 ft10"><A href="#page_141">141</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_141">7.4.1</A></P></TD> <TD class="tr0 td34"><P class="p37 ft3"><A href="#page_141">Riksrevisionens rapport .............................................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_141">141</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td32"><P class="p39 ft10"><A href="#page_143">7.4.2 En bild av myndigheternas</A></P></TD> <TD class="tr0 td33"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td34"><P class="p37 ft12"><A href="#page_143">informationssäkerhetsarbete 2014 ............................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_143">143</A></P></TD> </TR> <TR> <TD class="tr5 td16"><P class="p17 ft12"><A href="#page_146">7.5</A></P></TD> <TD colspan=2 class="tr5 td32"><P class="p39 ft11"><A href="#page_146">Tekniska funktioner för skyddad kommunikation .............</A></P></TD> <TD class="tr5 td33"><P class="p17 ft10"><A href="#page_146">146</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_146">7.5.1</A></P></TD> <TD class="tr0 td34"><P class="p37 ft3"><A href="#page_146">Krypto och signalsskydd ...........................................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_146">146</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_151">7.5.2</A></P></TD> <TD class="tr0 td34"><P class="p37 ft3"><A href="#page_151">Sensorsystem ..............................................................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_151">151</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_152">7.5.3</A></P></TD> <TD class="tr0 td34"><P class="p37 ft12"><NOBR><A href="#page_152">It-incidentrapportering ..............................................</A></NOBR></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_152">152</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_154">7.5.4</A></P></TD> <TD class="tr0 td34"><P class="p37 ft11"><A href="#page_154">Skyddad kommunikationsinfrastruktur ...................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_154">154</A></P></TD> </TR> <TR> <TD class="tr6 td16"><P class="p17 ft12"><A href="#page_157">7.6</A></P></TD> <TD colspan=2 class="tr6 td32"><P class="p39 ft3"><A href="#page_157">Samverkan ..............................................................................</A></P></TD> <TD class="tr6 td33"><P class="p17 ft10"><A href="#page_157">157</A></P></TD> </TR> <TR> <TD class="tr7 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr7 td12"><P class="p39 ft10"><A href="#page_157">7.6.1</A></P></TD> <TD class="tr7 td34"><P class="p37 ft10"><A href="#page_157">Samverkansgruppen för informationssäkerhet</A></P></TD> <TD class="tr7 td33"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td34"><P class="p37 ft3"><A href="#page_157">(SAMFI) .....................................................................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_157">157</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td32"><P class="p39 ft10"><A href="#page_159">7.6.2 Nationell samverkan till skydd mot allvarliga it-</A></P></TD> <TD class="tr0 td33"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td34"><P class="p37 ft3"><A href="#page_159">hot (NSIT) .................................................................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_159">159</A></P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p39 ft10"><A href="#page_160">7.6.3</A></P></TD> <TD class="tr0 td34"><P class="p37 ft12"><A href="#page_160">Nationella telesamverkansgruppen (NTSG)............</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_160">160</A></P></TD> </TR> <TR> <TD class="tr1 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr1 td32"><P class="p39 ft10"><A href="#page_161">7.6.4 Nationellt arbete med fokus på industriella</A></P></TD> <TD class="tr1 td33"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td34"><P class="p37 ft12"><A href="#page_161">informations- och styrsystem....................................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_161">161</A></P></TD> </TR> <TR> <TD class="tr12 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr12 td12"><P class="p39 ft10"><A href="#page_165">7.6.5</A></P></TD> <TD class="tr12 td34"><P class="p37 ft3"><A href="#page_165">Övningar .....................................................................</A></P></TD> <TD class="tr12 td33"><P class="p17 ft10"><A href="#page_165">165</A></P></TD> </TR> </TABLE> </DIV> <DIV id="id_3"> <P class="p4 ft20">8</P> </DIV> </DIV> <DIV id="page_9"> <DIV id="id_1"> <P class="p4 ft21">SOU 2015:23 Innehåll</P> <TABLE cellpadding=0 cellspacing=0 class="t11"> <TR> <TD class="tr1 td10"><P class="p16 ft12"><A href="#page_168">7.7</A></P></TD> <TD colspan=2 class="tr1 td35"><P class="p35 ft3"><NOBR><A href="#page_168">Privat-offentligt .....................................................................</A></NOBR></P></TD> <TD class="tr1 td36"><P class="p17 ft10"><A href="#page_168">168</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p35 ft10"><A href="#page_168">7.7.1</A></P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_168">Informationssäkerhetsrådet .......................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_168">168</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td35"><P class="p35 ft10"><A href="#page_169">7.7.2 Ytterligare </A><NOBR><A href="#page_169">privat-offentliga</A></NOBR><A href="#page_169"> samverkansforum</A></P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_169">inom området..............................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_169">169</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td35"><P class="p35 ft12"><A href="#page_169">7.7.3 Standardisering av informations- och </A><NOBR><A href="#page_169">it-säkerhet.....</A></NOBR></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_169">169</A></P></TD> </TR> <TR> <TD class="tr5 td10"><P class="p16 ft12"><A href="#page_170">7.8</A></P></TD> <TD colspan=2 class="tr5 td35"><P class="p35 ft3"><A href="#page_170">Den privata sektorn ...............................................................</A></P></TD> <TD class="tr5 td36"><P class="p17 ft10"><A href="#page_170">170</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p35 ft10"><A href="#page_171">7.8.1</A></P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_171">Teleoperatörer.............................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_171">171</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td35"><P class="p35 ft11"><A href="#page_173">7.8.2 Stiftelsen för internetinfrastruktur (.SE) ..................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_173">173</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td35"><P class="p35 ft10"><A href="#page_174">7.8.3 Stiftelsen för telematikens utveckling (TU-</A></P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_174">stiftelsen) och Netnod ...............................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_174">174</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p35 ft10"><A href="#page_175">7.8.4</A></P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_175">Svenskt Näringsliv ......................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_175">175</A></P></TD> </TR> <TR> <TD class="tr3 td10"><P class="p16 ft16"><A href="#page_177">8</A></P></TD> <TD colspan=2 class="tr3 td35"><P class="p35 ft18"><A href="#page_177">Internationella utvecklingslinjer, organisationer och</A></P></TD> <TD class="tr3 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td35"><P class="p35 ft16"><A href="#page_177">dialoger...................................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft16"><A href="#page_177">177</A></P></TD> </TR> <TR> <TD class="tr6 td10"><P class="p16 ft12"><A href="#page_177">8.1</A></P></TD> <TD colspan=2 class="tr6 td35"><P class="p35 ft3"><A href="#page_177">Globala cyberfrågor ...............................................................</A></P></TD> <TD class="tr6 td36"><P class="p17 ft10"><A href="#page_177">177</A></P></TD> </TR> <TR> <TD class="tr5 td10"><P class="p16 ft12"><A href="#page_181">8.2</A></P></TD> <TD colspan=2 class="tr5 td35"><P class="p35 ft3"><A href="#page_181">Europeiska unionen ...............................................................</A></P></TD> <TD class="tr5 td36"><P class="p17 ft10"><A href="#page_181">181</A></P></TD> </TR> <TR> <TD class="tr7 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr7 td12"><P class="p35 ft10"><A href="#page_181">8.2.1</A></P></TD> <TD class="tr7 td37"><P class="p37 ft3"><A href="#page_181">ENISA.........................................................................</A></P></TD> <TD class="tr7 td36"><P class="p17 ft10"><A href="#page_181">181</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td35"><P class="p35 ft10"><A href="#page_183">8.2.2 Direktiv om åtgärder för att säkerställa en hög</A></P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr1 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr1 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr1 td37"><P class="p37 ft11"><A href="#page_183">gemensam nivå av nät- och informationssäkerhet</A></P></TD> <TD class="tr1 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr7 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr7 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr7 td37"><P class="p37 ft3"><A href="#page_183">inom hela unionen ......................................................</A></P></TD> <TD class="tr7 td36"><P class="p17 ft10"><A href="#page_183">183</A></P></TD> </TR> <TR> <TD class="tr1 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr1 td35"><P class="p35 ft10"><A href="#page_184">8.2.3 EU:s digitala agenda och allmän</A></P></TD> <TD class="tr1 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td37"><P class="p37 ft12"><A href="#page_184">uppgiftsskyddsförordning..........................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_184">184</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p35 ft10"><A href="#page_184">8.2.4</A></P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_184">Europeisk cybersäkerhetsstrategi ..............................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_184">184</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p35 ft10"><A href="#page_186">8.2.5</A></P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_186">Europol........................................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_186">186</A></P></TD> </TR> <TR> <TD class="tr5 td10"><P class="p16 ft12"><A href="#page_187">8.3</A></P></TD> <TD colspan=2 class="tr5 td35"><P class="p35 ft3"><A href="#page_187">OECD ....................................................................................</A></P></TD> <TD class="tr5 td36"><P class="p17 ft10"><A href="#page_187">187</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td35"><P class="p35 ft10"><A href="#page_187">8.3.1 OECD:s arbete inom områdena</A></P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td37"><P class="p37 ft12"><A href="#page_187">informationssäkerhet och integritet ..........................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_187">187</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td35"><P class="p35 ft10"><A href="#page_188">8.3.2 OECD:s rekommendationer och riktlinjer –</A></P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_188">Security Guidelines.....................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_188">188</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p35 ft10"><A href="#page_190">8.3.3</A></P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_190">Privacy Guidelines ......................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_190">190</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td35"><P class="p35 ft10"><A href="#page_191">8.3.4 Recommendation on the Protection of Critical</A></P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td12"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td37"><P class="p37 ft11"><A href="#page_191">Information Infrastructure (CIIP) ...........................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_191">191</A></P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td35"><P class="p35 ft12"><A href="#page_192">8.3.5 Guidelines for Cryptography Policy .........................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_192">192</A></P></TD> </TR> <TR> <TD class="tr6 td10"><P class="p16 ft12"><A href="#page_192">8.4</A></P></TD> <TD colspan=2 class="tr6 td35"><P class="p35 ft10"><A href="#page_192">FN:s arbete och internationella initiativ inom</A></P></TD> <TD class="tr6 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td35"><P class="p35 ft3"><A href="#page_192">cyberområdet..........................................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_192">192</A></P></TD> </TR> <TR> <TD class="tr12 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr12 td35"><P class="p35 ft12"><A href="#page_192">8.4.1 FN:s generalförsamlings första utskott ....................</A></P></TD> <TD class="tr12 td36"><P class="p17 ft10"><A href="#page_192">192</A></P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft20">9</P> </DIV> </DIV> <DIV id="page_10"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Innehåll</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <TABLE cellpadding=0 cellspacing=0 class="t12"> <TR> <TD colspan=2 class="tr0 td38"><P class="p16 ft12"><A href="#page_193">8.4.2 FN:s generalförsamlings andra utskott ....................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_193">193</A></P></TD> </TR> <TR> <TD colspan=2 class="tr0 td38"><P class="p16 ft12"><A href="#page_194">8.4.3 FN:s generalförsamlings tredje utskott ....................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_194">194</A></P></TD> </TR> <TR> <TD class="tr0 td20"><P class="p16 ft10"><A href="#page_194">8.4.4</A></P></TD> <TD class="tr0 td34"><P class="p37 ft12"><A href="#page_194">FN:s råd för mänskliga rättigheter............................</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_194">194</A></P></TD> </TR> <TR> <TD class="tr0 td20"><P class="p16 ft10"><A href="#page_195">8.4.5</A></P></TD> <TD class="tr0 td34"><P class="p37 ft11"><A href="#page_195">World Summit on the Information Society..............</A></P></TD> <TD class="tr0 td33"><P class="p17 ft10"><A href="#page_195">195</A></P></TD> </TR> </TABLE> <P class="p49 ft13"><SPAN class="ft12">8.4.6</SPAN><A href="#page_195"><SPAN class="ft24">Working Group on Enhanced Cooperation, Commission on Science and Technology for</SPAN></A></P> <TABLE cellpadding=0 cellspacing=0 class="t13"> <TR> <TD class="tr13 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr13 td39"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr13 td40"><P class="p16 ft25">Development (CSTD) inom ECOSOC</P></TD> <TD class="tr13 td41"><P class="p17 ft26">................... <A href="#page_195">195</A></P></TD> </TR> <TR> <TD class="tr14 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr14 td39"><P class="p16 ft25"><A href="#page_196">8.4.7</A></P></TD> <TD class="tr14 td40"><P class="p16 ft25">Internationella teleunionen (ITU) ............................</P></TD> <TD class="tr14 td41"><P class="p17 ft27"><A href="#page_196">196</A></P></TD> </TR> <TR> <TD class="tr14 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr14 td39"><P class="p16 ft25"><A href="#page_196">8.4.8</A></P></TD> <TD class="tr14 td40"><P class="p16 ft25">NETmundialkonferensen i Brasilien .........................</P></TD> <TD class="tr14 td41"><P class="p17 ft27"><A href="#page_196">196</A></P></TD> </TR> <TR> <TD class="tr14 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr14 td39"><P class="p16 ft25"><A href="#page_196">8.4.9</A></P></TD> <TD class="tr14 td40"><P class="p16 ft25">Londonprocessen .......................................................</P></TD> <TD class="tr14 td41"><P class="p17 ft27"><A href="#page_196">196</A></P></TD> </TR> <TR> <TD class="tr14 td16"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr14 td39"><P class="p16 ft25"><A href="#page_197">8.4.10 Freedom Online Coalition (FOC)...........................</A></P></TD> <TD class="tr14 td41"><P class="p17 ft27"><A href="#page_197">197</A></P></TD> </TR> <TR> <TD class="tr14 td16"><P class="p16 ft25"><A href="#page_198">8.5</A></P></TD> <TD class="tr14 td39"><P class="p16 ft25"><A href="#page_198">OSSE</A></P></TD> <TD class="tr14 td40"><P class="p16 ft25">......................................................................................</P></TD> <TD class="tr14 td41"><P class="p17 ft27"><A href="#page_198">198</A></P></TD> </TR> <TR> <TD class="tr14 td16"><P class="p16 ft25"><A href="#page_199">8.6</A></P></TD> <TD colspan=2 class="tr14 td39"><P class="p16 ft25"><A href="#page_199">Europarådet............................................................................</A></P></TD> <TD class="tr14 td41"><P class="p17 ft27"><A href="#page_199">199</A></P></TD> </TR> <TR> <TD class="tr14 td16"><P class="p16 ft25"><A href="#page_200">8.7</A></P></TD> <TD class="tr14 td39"><P class="p16 ft25"><A href="#page_200">Nato........................................................................................</A></P></TD> <TD class="tr14 td40"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr14 td41"><P class="p17 ft27"><A href="#page_200">200</A></P></TD> </TR> <TR> <TD class="tr14 td16"><P class="p16 ft25"><A href="#page_201">8.8</A></P></TD> <TD colspan=2 class="tr14 td39"><P class="p16 ft25"><A href="#page_201">Interpol ..................................................................................</A></P></TD> <TD class="tr14 td41"><P class="p17 ft27"><A href="#page_201">201</A></P></TD> </TR> <TR> <TD class="tr14 td16"><P class="p16 ft28"><A href="#page_203">9</A></P></TD> <TD colspan=2 class="tr14 td39"><P class="p16 ft28"><A href="#page_203">Överväganden ..........................................och förslag</A></P></TD> <TD class="tr14 td41"><P class="p17 ft29"><A href="#page_203">203</A></P></TD> </TR> </TABLE> <P class="p50 ft25"><SPAN class="ft27">9.1</SPAN><A href="#page_203"><SPAN class="ft30">En nationell strategi för statens informations- och</SPAN></A></P> <TABLE cellpadding=0 cellspacing=0 class="t14"> <TR> <TD colspan=2 class="tr15 td42"><P class="p16 ft25"><A href="#page_203">cybersäkerhet .........................................................................</A></P></TD> <TD class="tr15 td33"><P class="p17 ft27"><A href="#page_203">203</A></P></TD> </TR> <TR> <TD class="tr14 td43"><P class="p16 ft25"><A href="#page_203">9.1.1</A></P></TD> <TD class="tr14 td34"><P class="p36 ft27"><A href="#page_203">Inledning.....................................................................</A></P></TD> <TD class="tr14 td33"><P class="p17 ft27"><A href="#page_203">203</A></P></TD> </TR> <TR> <TD class="tr14 td43"><P class="p16 ft25"><A href="#page_204">9.1.2</A></P></TD> <TD class="tr14 td34"><P class="p36 ft27"><A href="#page_204">Bakgrund.....................................................................</A></P></TD> <TD class="tr14 td33"><P class="p17 ft27"><A href="#page_204">204</A></P></TD> </TR> <TR> <TD colspan=2 class="tr14 td42"><P class="p16 ft25"><A href="#page_206">9.1.3 Behovet av en strategi ................................................</A></P></TD> <TD class="tr14 td33"><P class="p17 ft27"><A href="#page_206">206</A></P></TD> </TR> <TR> <TD class="tr14 td43"><P class="p16 ft25"><A href="#page_208">9.1.4</A></P></TD> <TD class="tr14 td34"><P class="p36 ft27"><A href="#page_208">Strategins innehåll ......................................................</A></P></TD> <TD class="tr14 td33"><P class="p17 ft27"><A href="#page_208">208</A></P></TD> </TR> <TR> <TD class="tr14 td43"><P class="p16 ft25"><A href="#page_210">9.1.5</A></P></TD> <TD class="tr14 td34"><P class="p36 ft27"><A href="#page_210">Strategigenomförande och handlingsplan.................</A></P></TD> <TD class="tr14 td33"><P class="p17 ft27"><A href="#page_210">210</A></P></TD> </TR> <TR> <TD colspan=2 class="tr14 td42"><P class="p36 ft27"><A href="#page_211">9.2 Ansvar, styrning, samordning och tillsyn ............................</A></P></TD> <TD class="tr14 td33"><P class="p17 ft27"><A href="#page_211">211</A></P></TD> </TR> <TR> <TD class="tr14 td43"><P class="p16 ft25"><A href="#page_211">9.2.1</A></P></TD> <TD class="tr14 td34"><P class="p36 ft27"><A href="#page_211">En nationell styrmodell..............................................</A></P></TD> <TD class="tr14 td33"><P class="p17 ft27"><A href="#page_211">211</A></P></TD> </TR> <TR> <TD colspan=2 class="tr14 td42"><P class="p16 ft25"><A href="#page_215">9.2.2 Inrättande av ett myndighetsråd ...............................</A></P></TD> <TD class="tr14 td33"><P class="p17 ft27"><A href="#page_215">215</A></P></TD> </TR> <TR> <TD colspan=2 class="tr14 td42"><P class="p16 ft25"><A href="#page_220">9.2.3 En ny förordning för statliga myndigheters</A></P></TD> <TD class="tr14 td33"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr14 td43"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr14 td34"><P class="p36 ft27"><A href="#page_220">informationssäkerhet .................................................</A></P></TD> <TD class="tr14 td33"><P class="p17 ft27"><A href="#page_220">220</A></P></TD> </TR> <TR> <TD class="tr14 td43"><P class="p16 ft25"><A href="#page_227">9.2.4</A></P></TD> <TD class="tr14 td34"><P class="p36 ft27"><A href="#page_227">Tillsyn .........................................................................</A></P></TD> <TD class="tr14 td33"><P class="p17 ft27"><A href="#page_227">227</A></P></TD> </TR> <TR> <TD colspan=2 class="tr14 td42"><P class="p16 ft25"><A href="#page_230">9.2.5 Informationssäkerhet som en del av</A></P></TD> <TD class="tr14 td33"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr14 td43"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr14 td34"><P class="p36 ft27"><A href="#page_230">myndighetens revision ...............................................</A></P></TD> <TD class="tr14 td33"><P class="p17 ft27"><A href="#page_230">230</A></P></TD> </TR> </TABLE> </DIV> <DIV id="id_3"> <P class="p4 ft31">10</P> </DIV> </DIV> <DIV id="page_11"> <DIV id="id_1"> <P class="p4 ft21">SOU 2015:23 Innehåll</P> <TABLE cellpadding=0 cellspacing=0 class="t11"> <TR> <TD class="tr1 td41"><P class="p16 ft10"><A href="#page_235">9.3</A></P></TD> <TD colspan=2 class="tr1 td44"><P class="p51 ft3"><A href="#page_235">Staten som tydlig kravställare................................................</A></P></TD> <TD class="tr1 td36"><P class="p17 ft10"><A href="#page_235">235</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p51 ft10"><A href="#page_236">9.3.1</A></P></TD> <TD class="tr0 td37"><P class="p37 ft12"><A href="#page_236">Kravställning vid upphandling ...................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_236">236</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p51 ft10"><A href="#page_243">9.3.2</A></P></TD> <TD class="tr0 td37"><P class="p37 ft10"><A href="#page_243">Fördjupad dialog mellan privat och offentlig</A></P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_243">sektor ...........................................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_243">243</A></P></TD> </TR> <TR> <TD class="tr5 td41"><P class="p16 ft10"><A href="#page_246">9.4</A></P></TD> <TD colspan=2 class="tr5 td44"><P class="p51 ft3"><A href="#page_246">Säkrare kommunikation i staten ...........................................</A></P></TD> <TD class="tr5 td36"><P class="p17 ft10"><A href="#page_246">246</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p51 ft10"><A href="#page_246">9.4.1</A></P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_246">Statliga nätverk............................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_246">246</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p51 ft10"><A href="#page_254">9.4.2</A></P></TD> <TD class="tr0 td37"><P class="p37 ft12"><A href="#page_254">Säkra kryptografiska funktioner ................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_254">254</A></P></TD> </TR> <TR> <TD class="tr6 td41"><P class="p16 ft10"><A href="#page_256">9.5</A></P></TD> <TD colspan=2 class="tr6 td44"><P class="p51 ft3"><A href="#page_256">Incidentrapportering..............................................................</A></P></TD> <TD class="tr6 td36"><P class="p17 ft10"><A href="#page_256">257</A></P></TD> </TR> <TR> <TD class="tr7 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr7 td45"><P class="p51 ft10"><A href="#page_257">9.5.1</A></P></TD> <TD class="tr7 td37"><P class="p37 ft10"><A href="#page_257">Informationssäkerhetsrelaterade</A></P></TD> <TD class="tr7 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_257">lägesbeskrivningar.......................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_257">257</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p51 ft10"><A href="#page_258">9.5.2</A></P></TD> <TD class="tr0 td37"><P class="p37 ft12"><A href="#page_258">Obligatorisk </A><NOBR><A href="#page_258">it-incidentrapportering.........................</A></NOBR></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_258">258</A></P></TD> </TR> <TR> <TD class="tr6 td41"><P class="p16 ft10"><A href="#page_262">9.6</A></P></TD> <TD colspan=2 class="tr6 td44"><P class="p51 ft3"><A href="#page_262">Brottsbekämpning .................................................................</A></P></TD> <TD class="tr6 td36"><P class="p17 ft10"><A href="#page_262">262</A></P></TD> </TR> <TR> <TD class="tr7 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr7 td45"><P class="p51 ft10"><A href="#page_262">9.6.1</A></P></TD> <TD class="tr7 td37"><P class="p37 ft12"><NOBR><A href="#page_262">It-brottskonventionen................................................</A></NOBR></P></TD> <TD class="tr7 td36"><P class="p17 ft10"><A href="#page_262">262</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p51 ft10"><A href="#page_263">9.6.2</A></P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_263">Informationsutbyte ....................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_263">263</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p51 ft10"><A href="#page_264">9.6.3</A></P></TD> <TD class="tr0 td37"><P class="p37 ft11"><A href="#page_264">Översyn av bestämmelser om tvångsmedels i den</A></P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr1 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr1 td45"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr1 td37"><P class="p37 ft3"><A href="#page_264">digitala miljön .............................................................</A></P></TD> <TD class="tr1 td36"><P class="p17 ft10"><A href="#page_264">264</A></P></TD> </TR> <TR> <TD class="tr5 td41"><P class="p16 ft10"><A href="#page_266">9.7</A></P></TD> <TD colspan=2 class="tr5 td44"><P class="p51 ft12"><A href="#page_266">Internationella och regionala relationer ...............................</A></P></TD> <TD class="tr5 td36"><P class="p17 ft10"><A href="#page_266">266</A></P></TD> </TR> <TR> <TD class="tr7 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr7 td45"><P class="p51 ft10"><A href="#page_266">9.7.1</A></P></TD> <TD class="tr7 td37"><P class="p37 ft12"><A href="#page_266">Sverige som stark internationell spelare ....................</A></P></TD> <TD class="tr7 td36"><P class="p17 ft10"><A href="#page_266">266</A></P></TD> </TR> <TR> <TD class="tr1 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr1 td45"><P class="p51 ft10"><A href="#page_267">9.7.2</A></P></TD> <TD class="tr1 td37"><P class="p37 ft3"><A href="#page_267">Olika perspektiv..........................................................</A></P></TD> <TD class="tr1 td36"><P class="p17 ft10"><A href="#page_267">267</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p51 ft10"><A href="#page_268">9.7.3</A></P></TD> <TD class="tr0 td37"><P class="p37 ft12"><A href="#page_268">Samordning av det internationella agerandet ............</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_268">268</A></P></TD> </TR> <TR> <TD class="tr5 td41"><P class="p16 ft10"><A href="#page_271">9.8</A></P></TD> <TD colspan=2 class="tr5 td44"><P class="p51 ft3"><A href="#page_271">Övriga förslag.........................................................................</A></P></TD> <TD class="tr5 td36"><P class="p17 ft10"><A href="#page_271">271</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p51 ft10"><A href="#page_271">9.8.1</A></P></TD> <TD class="tr0 td37"><P class="p37 ft10"><A href="#page_271">Framtida övningsutveckling inom informations-</A></P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_271">och cybersäkerhetsområdet .......................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_271">271</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p51 ft10"><A href="#page_273">9.8.2</A></P></TD> <TD class="tr0 td37"><P class="p37 ft12"><A href="#page_273">Fördjupad dialog om kompetensförsörjning ............</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_273">273</A></P></TD> </TR> <TR> <TD class="tr4 td41"><P class="p16 ft16"><A href="#page_277">10</A></P></TD> <TD colspan=2 class="tr4 td44"><P class="p51 ft18"><A href="#page_277">Konsekvenser av förslagen.........................................</A></P></TD> <TD class="tr4 td36"><P class="p17 ft16"><A href="#page_277">277</A></P></TD> </TR> <TR> <TD class="tr6 td41"><P class="p16 ft12"><A href="#page_277">10.1</A></P></TD> <TD colspan=2 class="tr6 td44"><P class="p51 ft3"><A href="#page_277">Inledning.................................................................................</A></P></TD> <TD class="tr6 td36"><P class="p17 ft10"><A href="#page_277">277</A></P></TD> </TR> <TR> <TD class="tr5 td41"><P class="p16 ft12"><A href="#page_278">10.2</A></P></TD> <TD colspan=2 class="tr5 td44"><P class="p51 ft3"><A href="#page_278">Åtgärdsförslagen ....................................................................</A></P></TD> <TD class="tr5 td36"><P class="p17 ft10"><A href="#page_278">278</A></P></TD> </TR> <TR> <TD class="tr7 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr7 td44"><P class="p51 ft12"><A href="#page_278">10.2.1 En nationell styrmodell för informationssäkerhet ...</A></P></TD> <TD class="tr7 td36"><P class="p17 ft10"><A href="#page_278">278</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td44"><P class="p51 ft10"><A href="#page_279">10.2.2 Upprättandet av ett kansli för myndighetsrådets</A></P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td45"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td37"><P class="p37 ft3"><A href="#page_279">arbete ...........................................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_279">279</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td44"><P class="p51 ft12"><A href="#page_280">10.2.3 Uppgiften att bedriva tillsyn ......................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_280">280</A></P></TD> </TR> <TR> <TD class="tr0 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr0 td44"><P class="p51 ft3"><A href="#page_280">10.2.4 Incidentrapportering ..................................................</A></P></TD> <TD class="tr0 td36"><P class="p17 ft10"><A href="#page_280">280</A></P></TD> </TR> <TR> <TD class="tr2 td41"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=2 class="tr2 td44"><P class="p51 ft3"><A href="#page_281">10.2.5 Säkrare kommunikation i staten ................................</A></P></TD> <TD class="tr2 td36"><P class="p17 ft10"><A href="#page_281">281</A></P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft20">11</P> </DIV> </DIV> <DIV id="page_12"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Innehåll</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr1 td46"><P class="p16 ft10"><A href="#page_282">10.3</A></P></TD> <TD colspan=2 class="tr1 td47"><P class="p36 ft3"><A href="#page_282">Statens intäkter ......................................................................</A></P></TD> <TD class="tr1 td33"><P class="p17 ft10"><A href="#page_282">282</A></P></TD> </TR> <TR> <TD class="tr5 td46"><P class="p16 ft10"><A href="#page_282">10.4</A></P></TD> <TD colspan=2 class="tr5 td47"><P class="p36 ft3"><A href="#page_282">Finansiering............................................................................</A></P></TD> <TD class="tr5 td33"><P class="p17 ft10"><A href="#page_282">282</A></P></TD> </TR> <TR> <TD class="tr5 td46"><P class="p16 ft10"><A href="#page_283">10.5</A></P></TD> <TD colspan=2 class="tr5 td47"><P class="p36 ft3"><A href="#page_283">Samhällsekonomiska effekter ...............................................</A></P></TD> <TD class="tr5 td33"><P class="p17 ft10"><A href="#page_283">283</A></P></TD> </TR> <TR> <TD class="tr5 td46"><P class="p16 ft10"><A href="#page_283">10.6</A></P></TD> <TD colspan=2 class="tr5 td47"><P class="p36 ft12"><A href="#page_283">Förslagens brottsförebyggande konsekvenser ....................</A></P></TD> <TD class="tr5 td33"><P class="p17 ft10"><A href="#page_283">283</A></P></TD> </TR> <TR> <TD colspan=2 class="tr4 td48"><P class="p16 ft16">Bilagor</P></TD> <TD class="tr4 td49"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr4 td33"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD colspan=3 class="tr6 td42"><P class="p16 ft12">Bilaga 1 <A href="#page_285">Kommittédirektiv 2013:110 ............................................</A></P></TD> <TD class="tr6 td33"><P class="p17 ft10"><A href="#page_285">285</A></P></TD> </TR> <TR> <TD colspan=3 class="tr5 td42"><P class="p16 ft12">Bilaga 2 <A href="#page_297">Kommittédirektiv 2014:66 ..............................................</A></P></TD> <TD class="tr5 td33"><P class="p17 ft10"><A href="#page_297">297</A></P></TD> </TR> <TR> <TD colspan=2 class="tr5 td48"><P class="p16 ft10">Bilaga 3</P></TD> <TD class="tr5 td49"><P class="p36 ft12"><A href="#page_301">Kommittédirektiv 2014:152 ............................................</A></P></TD> <TD class="tr5 td33"><P class="p17 ft10"><A href="#page_301">301</A></P></TD> </TR> <TR> <TD colspan=2 class="tr5 td48"><P class="p16 ft10">Bilaga 4</P></TD> <TD class="tr5 td49"><P class="p52 ft12">Förslag till nationell strategi och åtgärdsplan för</P></TD> <TD class="tr5 td33"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td46"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td49"><P class="p36 ft32"><SPAN class="ft12">säkra kryptografiska funktioner </SPAN>.....................................</P></TD> <TD class="tr0 td33"><P class="p17 ft10">303</P></TD> </TR> <TR> <TD colspan=2 class="tr16 td48"><P class="p16 ft10">Bilaga 5</P></TD> <TD class="tr16 td49"><P class="p36 ft12"><A href="#page_329">Strategi för statens informations- och cybersäkerhet ...</A></P></TD> <TD class="tr16 td33"><P class="p17 ft10"><A href="#page_329">329</A></P></TD> </TR> </TABLE> </DIV> <DIV id="id_3"> <P class="p4 ft20">12</P> </DIV> </DIV> <DIV id="page_13"> <P class="p4 ft7">Sammanfattning</P> <P class="p53 ft33">Strategi och åtgärder i korthet</P> <P class="p54 ft10">Utredningen föreslår en strategi för informations- och cybersäker- het i staten. Strategin har sex mål:</P> <P class="p55 ft10"><SPAN class="ft15">att </SPAN>stärka styrning och tillsyn inom området,</P> <P class="p56 ft13"><SPAN class="ft34">att </SPAN>staten ska ställa tydliga krav vid upphandling på <NOBR>it-området,</NOBR> <SPAN class="ft34">att </SPAN>statliga myndigheter ska kommunicera säkert,</P> <P class="p57 ft10"><SPAN class="ft15">att </SPAN>samtliga statliga myndigheter rapporterar <NOBR>it-incidenter,</NOBR></P> <P class="p58 ft8"><SPAN class="ft35">att </SPAN>arbetet med att förebygga och bekämpa <NOBR>it-relaterad</NOBR> brottslighet stärks och</P> <P class="p57 ft10"><SPAN class="ft15">att </SPAN>Sverige ska vara en stark internationell partner.</P> <P class="p59 ft13">Strategin innehåller förslag till åtgärder inom de områden utred- ningen bedömt som strategiska för att uppnå en god informations- säkerhet i statsförvaltningen. Åtgärderna ska säkerställa att de statliga myndigheterna har ett gemensamt förhållningssätt till in- formationssäkerhetsfrågor och behovet av skyddad kommunika- tion samt säkra <NOBR>it-lösningar.</NOBR> Andra åtgärdsförslag innebär att det skapas förutsättningar för de brottsbekämpande myndigheterna att garantera samma skydd mot cyberbrottslighet som mot brottslighet i allmänhet. Det föreslås också att regeringen stärker och samordnar insatserna för att främja Sveriges ställning i internationella samarbeten om informations- och cybersäkerhet.</P> <P class="p60 ft20">13</P> </DIV> <DIV id="page_14"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Sammanfattning</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p61 ft33">Uppdrag</P> <P class="p62 ft8">Utredningen har haft regeringens uppdrag att föreslå en nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och <NOBR>it-system</NOBR> samt att föreslå övergripande mål för samhällets informationssäkerhetsarbete, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig <NOBR>it-infra-</NOBR> struktur. Enligt direktiven ska utredningen också klargöra begrepp som används inom informationssäkerhetsområdet och vid behov föreslå förtydligande eller alternativa benämningar och definitioner. I uppdraget har vidare ingått att redovisa statliga myndigheters ansvar och roller utifrån de uppgifter och uppdrag på informations- säkerhetsområdet som de har i dag.</P> <P class="p63 ft33">Utredningens inriktning</P> <P class="p64 ft13">Uppdraget har omfattat övergripande och strategiska åtgärder. Utredningens förslag ska ses i ljuset av att säkerhetsskyddslagen är under översyn och att åtgärdsförslagen inte avser att träffa säker- hetsskyddslagens tillämpningsområde. Vidare begränsas förslagen till det statliga området och till utformning av författningsreglering på förordnings- och föreskriftsnivå. Våra förslag syftar till att skapa en gemensam syn på en lägsta nivå av informationssäkerhet i staten och samtidigt höja denna.</P> <P class="p63 ft33">Informationssäkerhet och cybersäkerhet</P> <P class="p65 ft9">De två centrala begreppen i denna utredning är informationssäker- het och cybersäkerhet. Informationssäkerhet innebär en strävan att skydda information så att den alltid finns när den behövs (tillgäng- lighet), att det går att lita på att den är korrekt och inte manipule- rad eller förstörd (riktighet), att endast behöriga personer får ta del av den (konfidentialitet) och att det går att följa hur och när in- formationen har hanterats och kommunicerats (spårbarhet). In- formationssäkerhet omfattar såväl administrativa som tekniska åt- gärder för att skydda information. För inrikes angelägenheter täcker begreppet informationssäkerhet flertalet av de i betänkandet före- slagna åtgärderna, medan cybersäkerhetsbegreppet gör sig mer</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">14</P> </DIV> </DIV> <DIV id="page_15"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td50"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td51"><P class="p16 ft36">Sammanfattning</P></TD> </TR> </TABLE> <P class="p66 ft8">gällande när perspektivet avser svenskt förhållande gentemot andra hot. I de internationella policydiskussionerna har cybersecurity i allt större omfattning ersatt användandet av begreppet information security. Sverige bör i sina internationella relationer använda begreppet cybersäkerhet.</P> <P class="p67 ft33">Myndigheter</P> <P class="p68 ft9">Det finns flera statliga myndigheter med särskilda uppgifter eller uppdrag på informationssäkerhetsområdet, såväl nationellt som internationellt, och frågorna spänner över en mängd olika områden och nivåer. Utredningen har beskrivit myndigheternas ansvar och roller på informationssäkerhetsområdet. Myndigheten för samhälls- skydd och beredskap, Post- och telestyrelsen, Försvarets radioanstalt, Säkerhetspolisen, Polismyndigheten, Försvarets materielverk och Försvarsmakten är myndigheter med särskilda uppgifter och sär- skilt ansvar inom informationssäkerhetsområdet. Myndigheterna ingår i samverkansgruppen för informationssäkerhet (SAMFI). I syfte att ytterligare formalisera, utveckla och fördjupa samord- ningen av informationssäkerhetsarbetet föreslår utredningen inom ramen för strategin att det inrättas ett Myndighetsråd för in- formationssäkerhet. Myndighetsrådet ska ha till uppgift att stödja och utveckla informationssäkerhetsarbetet i samhället.</P> <P class="p69 ft33">Behovet av en strategi för staten</P> <P class="p54 ft8">Hoten mot informations- och cybersäkerheten samt Sverige som nation kan inte hanteras enbart nationellt och kommer därför att kräva både sektorsövergripande och internationellt samarbete. Sveriges främsta och strategiska samarbetspartners uppfattar också problemet på samma sätt och manar i sina strategier till ökat sam- arbete.</P> <P class="p15 ft8">Tidigare utredningar på området har i full enlighet med sina uppdrag sökt föreslå allomfattande strategier för hela samhället. Det finns anledning att från denna utrednings sida betona att behoven på informations- och cybersäkerhetens område är så omfattande i Sverige, att det inte behövs en, utan flera strategier. Vad som föreslås är därför det första steget, en första strategi för</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">15</P> </DIV> </DIV> <DIV id="page_16"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Sammanfattning</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p70 ft8">statens informations- och cybersäkerhet som söker åtgärda de mest angelägna bristerna i statsförvaltningen. Först när detta är klart finns anledning och förutsättningar att gå vidare till större och mer specifika områden. Senare strategier bör omfatta bl.a. kompetens- försörjningen i samhället, forskning och utveckling, informations- säkerheten inom verksamheten hos landsting och kommuner, lik- som försvaret av riket och dess oberoende mot antagonistiska hot med såväl defensiva som offensiva förmågor.</P> <P class="p71 ft8">Den föreslagna strategin träffar statsförvaltningen på bredden och höjer, om den genomförs, den generella informations- och cyber- säkerheten i statsförvaltningen, vilket främjar samhällets förutsätt- ningar att förebygga och bekämpa de yttersta hoten mot rikets säkerhet.</P> <P class="p72 ft8">Strategin vänder sig först och främst till regeringen, Regerings- kansliet och till de statliga myndigheterna, och indirekt till den del av näringslivet och de organisationer som samverkar eller ingår affärsrelationer med staten. Den ska bidra till att reducera sårbar- heten och uppnå en effektiv risknivå i statens olika informations- system. Vidare ska strategin bidra till trygg elektronisk kommunikation i offentlig sektor och pålitliga nättjänster från offentlig sektor. Syftet med strategin är att ange grundläggande målsättningar, färdriktningar och arbetssätt för informationssäkerhet i svenska staten.</P> <P class="p63 ft33">Förslag till strategi och åtgärder</P> <P class="p62 ft8">Strategin anger sex strategiska mål och områden för informations- säkerhetsarbetet. Inom de strategiska områdena anges olika förslag till åtgärder.</P> <P class="p73 ft16">Styrning och tillsyn av informationssäkerheten i staten stärks.</P> <P class="p74 ft15">Förslag</P> <P class="p75 ft37">En nationell styrmodell för informationssäkerhet etableras för att skapa ett systematiskt informationssäkerhetsarbete i statlig verk- samhet. Förslaget avser i första hand de statliga myndigheterna och</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">16</P> </DIV> </DIV> <DIV id="page_17"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td50"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td51"><P class="p16 ft36">Sammanfattning</P></TD> </TR> </TABLE> <P class="p66 ft10">ska vara normerande för dessa men styrmodellen kan på sikt ut- sträckas till att omfatta hela den offentliga sektorn.</P> <P class="p76 ft8">Det bör inrättas ett statligt myndighetsråd för informations- säkerhet bestående av företrädare för de relevanta myndigheterna på området.</P> <P class="p77 ft8">En ny förordning för statliga myndigheters informationssäkerhet bör införas för att tydliggöra ett ökat ansvar för det praktiska säkerhetsarbetet inom myndigheterna.</P> <P class="p78 ft38">Tillsynen över den statliga sektorns informationssäkerhet bör sam- ordnas och förstärkas. Myndigheten för samhällsskydd och bered- skap ska utöva tillsyn över myndigheternas informationssäker- hetsarbete i enlighet med föreslagen förordning.</P> <P class="p79 ft8">Myndigheternas internrevision behöver utvecklas till att inkludera uppföljning och kontroll av myndigheternas informationssäkerhet. Myndighetsledningens ansvar för att upprätthålla säkerhet i sin informationshantering bör förtydligas genom ett författnings- reglerat rapporteringskrav.</P> <P class="p80 ft39">Staten ställer tydliga krav som upphandlare av tjänster som innehåller informationshantering eller av <NOBR>it-tjänster.</NOBR></P> <P class="p81 ft15">Förslag</P> <P class="p82 ft8">Statlig upphandling på <NOBR>it-området</NOBR> bör innehålla hänvisning till för staten gällande standarder och krav på certifiering i de situationer där säkerhetsnivåer har fastställts för respektive verksamhet.</P> <P class="p83 ft8">Myndigheten för samhällsskydd och beredskap bör ges i uppdrag att ta fram minimikrav på säkerhet i vanligt förekommande it- produkter som används av statliga myndigheter.</P> <P class="p78 ft37">Det bör införas ett krav på att rapportera vilken leverantör som en statlig myndighet har valt då ramavtal rörande <NOBR>it-lösningar</NOBR> används.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">17</P> </DIV> </DIV> <DIV id="page_18"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Sammanfattning</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p70 ft8">När det gäller tjänster och produkter som ska användas för kom- munikation inom staten bör upphandlande myndighet överväga möjligheten att tillämpa lagen om upphandling på försvars- och säkerhetsområdet, om upphandling enligt lagen om offentlig upphandling inte medger att nödvändiga krav ställs.</P> <P class="p84 ft8">Regeringen bör fördjupa dialogen mellan privata och offentliga aktörer samt utbildnings- och forskningsinstitutioner på informa- tionssäkerhetsområdet.</P> <P class="p63 ft16">Statliga myndigheter kommunicerar säkert.</P> <P class="p85 ft15">Förslag</P> <P class="p86 ft8">För att skapa en myndighetsgemensam infrastruktur för elektronisk kommunikation bör kommunikationssystemet Swedish Government Secure Intranet (SGSI) utvecklas. I ett första steg ansluts samtliga myndigheter som anges i bilagan till förordningen om kris- beredskap och höjd beredskap till SGSI.</P> <P class="p87 ft10">Under utbyggnaden av SGSI bör det vidtas åtgärder för att utveckla system för att upptäcka intrång och angrepp.</P> <P class="p88 ft8">Synkronisering av tid och frekvens är viktig för att vissa funktioner i samhället ska fungera. Statliga myndigheter ska därför använda samma synkroniserade tidsskala för de tidsangivelser de använder i sina <NOBR>it-system.</NOBR></P> <P class="p84 ft8">Myndigheten för samhällsskydd och beredskap, Försvarets radio- anstalt, Försvarets materielverk och Försvarsmakten bör ges i upp- drag att utveckla processen för säkra kryptografiska funktioner på basis av den av myndigheterna föreslagna nationella strategin med åtgärdsplan.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">18</P> </DIV> </DIV> <DIV id="page_19"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td50"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td51"><P class="p16 ft36">Sammanfattning</P></TD> </TR> </TABLE> <P class="p89 ft16">Samtliga statliga myndigheter rapporterar <NOBR>it-incidenter.</NOBR></P> <P class="p81 ft15">Förslag</P> <P class="p90 ft8">Det bör inrättas ett system för obligatorisk <NOBR>it-incidentrapportering</NOBR> för samtliga statliga myndigheter. Detta ska anpassas till de krav som <NOBR>EU-direktivet</NOBR> om nät- och informationssäkerhet (NIS- direktivet) kommer att ställa. Ett system för obligatorisk it- incidentrapportering skulle bidra till förmågan att förebygga och hantera <NOBR>it-incidenter.</NOBR></P> <P class="p91 ft8">I syfte att förbereda införandet av ett system för obligatorisk it- incidentrapportering bör Myndigheten för samhällsskydd och beredskap få i uppdrag att utfärda verkställighetsföreskrifter om dess närmare utformning.</P> <P class="p92 ft8">Myndigheten för samhällsskydd och beredskap bör ges i uppdrag att förse de statliga myndigheterna med information om bl.a. trender och utveckling avseende <NOBR>it-incidenter.</NOBR></P> <P class="p93 ft16">Förebyggande och bekämpande av <NOBR>it-relaterad</NOBR> brottslighet stärks.</P> <P class="p94 ft15">Förslag</P> <P class="p95 ft10">Arbetet med ratificering av Europarådets konvention om <NOBR>it-relate-</NOBR> rad brottslighet, som Sverige undertecknade 2001, bör slutföras.</P> <P class="p76 ft8">Det bör utredas om en tydligare reglering kan införas i offent- lighets- och sekretesslagen rörande sekretess för uppgifter som utbyts vid samverkan mellan brottsbekämpande myndigheter och andra myndigheter inom informationssäkerhetsområdet.</P> <P class="p92 ft8">Det bör göras en översyn av bestämmelserna om tvångsmedel i 27 och 28 kap. rättegångsbalken och övriga lagrum för att säkerställa att brottsbekämpande myndigheter kan bedriva sin förebyggande och utredande verksamhet i den digitala miljön.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">19</P> </DIV> </DIV> <DIV id="page_20"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Sammanfattning</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft16">Sverige ska vara en stark internationell partner.</P> <P class="p81 ft15">Förslag</P> <P class="p96 ft8">Regeringen bör säkerställa att Sverige agerar kraftfullt och konsi- stent i samtliga internationella och regionala fora av relevans genom att stärka samordningen av både Regeringskansliets och myndig- heternas internationella kontakter.</P> <P class="p69 ft33">Konsekvenser av förslagen</P> <P class="p97 ft37">Utredningens förslag innebär en höjd ambitionsnivå för samhällets informationssäkerhet och vissa av förslagen medför ökade kostna- der. Eftersom informationssäkerhet normalt anses ingå i kostna- derna för respektive verksamhet är utgångspunkten att flera förslag bör bäras av respektive verksamheter. Den största kostnaden gäller framför allt den utökade rollen för Myndigheten för samhällsskydd och beredskap, vilket kräver en anslagshöjning. Detta behov kan täckas genom omdisponeringar inom utgiftsområde 06 Försvar och samhällets krisberedskap eller hänföras till en ny förvaltnings- politisk inriktning av statsförvaltningens arbete och därmed hän- förlig till utgiftsområde 02 Samhällsekonomi och förvaltning. Lika- så kan övervägas om delar av de kostnadsökningar som beskrivs är att hänföra till de krav på ökad digitalisering som hanteras inom utgiftsområde 22 Kommunikationer. Ett sista förslag är om in- formations- och cybersäkerhet har kommit att bli en så central del av statsförvaltningen att det förtjänar ett eget och nytt utgifts- område.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">20</P> </DIV> </DIV> <DIV id="page_21"> <P class="p98 ft40">Cyber security in Sweden – strategy and measures for secure information in central government</P> <P class="p99 ft38">The Inquiry was instructed to propose a national strategy for the handling and transfer of information in electronic communications networks and IT systems, and to propose overall objectives for society’s information security work and how Sweden is to maintain the security and integrity of vital public IT infrastructure.</P> <P class="p100 ft16">Need for a strategy</P> <P class="p82 ft13">The threats against cyber security, and Sweden as a nation, cannot be dealt with nationally and will therefore require both <NOBR>cross-secto-</NOBR> ral and international cooperation. Sweden’s foremost and strategic cooperation partners also view the problem in the same way, calling in their strategies for greater cooperation.</P> <P class="p14 ft8">In light of this perspective, Sweden must continue to build its national capacity and strengthen the protection not only of vital infrastructure, but also of the entire central government admin- istration so as to be able to tackle and avert all threats against cen- tral government information assets.</P> <P class="p14 ft8">Only with this approach will Sweden, over time, be able to secure the many advantages offered by the digital society to indi- viduals, central government and businesses in the form of eco- nomic growth, innovation and national security.</P> <P class="p101 ft20">21</P> </DIV> <DIV id="page_22"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Cyber security in Sweden…</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p61 ft16">A strategy for central government</P> <P class="p102 ft8">Previous proposed strategies have tried to remedy all problems and challenges in the whole of society in one context, which creates an overwhelming challenge.</P> <P class="p103 ft8">The Inquiry’s remit includes proposing a strategy for the han- dling and transfer of information in electronic communications networks and IT systems, a national strategy that the Inquiry con- siders should be adopted by the Government. There is reason for the Inquiry to stress that the needs in the area of cyber security in Sweden are extensive and it seems rational to accept that Sweden needs not one but several strategies. The proposals below are therefore merely the first step – an initial strategy that seeks to remedy the most urgent shortcomings in central government administration. Only when this is finished will there be reason – and necessary conditions – to move on to larger and more specific areas. One such consecutive area is covered by the national security protection legislation, which is currently under reform. This proposed strategy takes a broad approach to central government administration and would, if implemented, improve general cyber security in central government administration, to the advantage of society’s resources for preventing and combating the most significant threats to the security of the realm. Consequently, these resources can then be targeted in a more undivided fashion against these threats.</P> <P class="p104 ft8">The Inquiry considers that to be an effective, credible, leading and demanding force in society, central government must devote its energies to creating security within the sphere of central gov- ernment. Therefore, the strategy proposed here is devoted to achieving this exclusively. Only after this has been achieved will central government be in a position to engage society as a whole. Subsequent strategies should cover: skills supply with regard to cyber security in society as a whole; national research and development on cyber security; cyber security within the activities of county councils and municipalities; and the defence of the realm and its independence <NOBR>vis-à-vis</NOBR> antagonistic threats using both defensive and offensive capabilities.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">22</P> </DIV> </DIV> <DIV id="page_23"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td52"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td53"><P class="p16 ft36">Cyber security in Sweden…</P></TD> </TR> </TABLE> <P class="p105 ft16">Implementation of the strategy</P> <P class="p90 ft8">In the Inquiry’s view, a national cyber security strategy should have a <NOBR>medium-term</NOBR> perspective that can lay the foundation for measu- res for two to three years ahead. The strategy is primarily intended for the Government, the Government Offices and government agencies, and indirectly for the section of the business sector and the organisations that collaborate with or enter into business relations with central government.</P> <P class="p13 ft8">The strategy is targeted so as to lay the foundation for political decisions and priorities in the area of cyber security, and to improve the coordination of society’s cyber security work. If implemented, the strategy would help to reduce vulnerability and achieve an effective risk level in the various information systems of central government. It would also contribute to secure electronic communications in the public sector and would secure reliable online public sector services.</P> <P class="p58 ft8">Cyber security is a support activity to improve the quality of central government functions while also being a necessary activity to guarantee that legislation from the Government and the Parliament is actually implemented. Essentially, it is about pro- tecting the fundamental values and goals in our society, such as democracy, personal privacy, economic growth and political stability.</P> <P class="p13 ft8">The objective is to achieve a high level of cyber security in central government administration that promotes:</P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">the rights and freedoms of citizens, and personal privacy;</SPAN></P> <P class="p106 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">the functionality, efficiency and effectiveness, and quality of central government administration;</SPAN></P> <P class="p45 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">law enforcement;</SPAN></P> <P class="p107 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">the ability of central government to prevent and deal with seri- ous disruptions and crises; and</SPAN></P> <P class="p108 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">business sector growth, through central government being skilled and clear in formulating requirements.</SPAN></P> <P class="p109 ft8">The strategy involves a series of initiatives to strengthen cyber security in Sweden. The initiatives fall into six areas.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">23</P> </DIV> </DIV> <DIV id="page_24"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Cyber security in Sweden…</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p61 ft16">Purpose and content of the strategy</P> <P class="p86 ft8">The purpose of the proposed strategy is to set out fundamental objectives, directions and working methods for cyber security in Swedish central government. A multitude of different central government actors need a common understanding of cyber secu- rity, what its purpose is and how future security measures can be targeted and designed. Those primarily affected are the Government and the heads of government agencies who have to take the decisions needed to implement the strategy in their activi- ties, but also those who work on cyber security at various levels, <NOBR>decision-makers</NOBR> in public administration and in those sections of the business sector that sell goods and services to it; those who work on IT and general security, but also individual citizens who are reliant on central government handling information about them and for them in a secure way.</P> <P class="p110 ft8">The strategy sets out six strategic objectives and strategic areas for cyber security. Various proposed measures are given within each strategic area.</P> <P class="p111 ft35"><SPAN class="ft43">1.</SPAN><SPAN class="ft44">Governance and oversight of cyber security in central government shall be strengthened.</SPAN></P> <P class="p112 ft8">A national governance model for cyber security in society will be established.</P> <P class="p112 ft8">The Government will establish a government agency council for cyber security comprising representatives of the relevant gov- ernment agencies.</P> <P class="p112 ft8">A new ordinance on government agencies’ cyber security will be introduced.</P> <P class="p113 ft37">Cyber security oversight of the central government sector will be coordinated and strengthened. The Swedish Civil Contingencies Agency will be given a general oversight mandate for government agencies’ cyber security. Sectoral oversight will be reviewed.</P> <P class="p114 ft8">Cyber security auditing will be developed. Management responsibility at government agencies for maintaining security in their information management shall be enhanced through a reporting requirement, regulated by statute.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">24</P> </DIV> </DIV> <DIV id="page_25"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td52"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td53"><P class="p16 ft36">Cyber security in Sweden…</P></TD> </TR> </TABLE> <P class="p115 ft35"><SPAN class="ft43">2.</SPAN><SPAN class="ft45">Central government shall state clear security requirements as a procurer of IT products and services, and services involving the handling of information.</SPAN></P> <P class="p116 ft8">Central government procurement shall contain references to standards and certification requirements that apply to central government in situations where security levels have been estab- lished for each activity.</P> <P class="p116 ft8">The Swedish Civil Contingencies Agency is mandated to establish minimum requirements for security in commonly used IT products used by government agencies.</P> <P class="p117 ft8">A requirement will be introduced, whereby a government agency must report which contractor it has chosen when framework agreements for IT solutions have been used.</P> <P class="p117 ft8">With regard to services and products for use in communication in central government, the procuring agency should consider the possibility of applying the Defence and Security Procurement Act if procurement under the Public Procurement Act permits insufficient security requirements.</P> <P class="p118 ft8">The Government will deepen the dialogue between private and public actors, as well as education and research institutions in the area.</P> <P class="p119 ft15"><SPAN class="ft43">3.</SPAN><SPAN class="ft46">Government agencies shall communicate in a secure way.</SPAN></P> <P class="p120 ft8">All government agencies listed in the annex to the Emergency Management and Heightened Alert Ordinance will be con- nected to the Swedish Government Secure Intranet (SGSI).</P> <P class="p117 ft8">During the expansion of SGSI, appropriate measures will be taken to develop sensor technology.</P> <P class="p117 ft8">All agencies are to use the same synchronized time scale for the time they use in their IT systems.</P> <P class="p121 ft38">The Government will instruct the Swedish Civil Contingencies Agency, the National Defence Radio Establishment, the Defence Materiel Administration and the Swedish Armed Forces to develop the process for securing cryptographic functions.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">25</P> </DIV> </DIV> <DIV id="page_26"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Cyber security in Sweden…</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p122 ft15"><SPAN class="ft43">4.</SPAN><SPAN class="ft47">All government agencies shall report IT incidents to create a basis for improved knowledge and status reports.</SPAN></P> <P class="p123 ft8">Systems will be introduced for obligatory IT incident reporting for all government agencies. These will be adapted to the con- tents of the EU Directive on Network and Information Security (NIS Directive).</P> <P class="p112 ft8">The Swedish Civil Contingencies Agency will be instructed to issue implementation provisions to prepare for obligatory IT incident reporting.</P> <P class="p112 ft8">Government agencies will be provided with status reports regarding IT incidents.</P> <P class="p124 ft35"><SPAN class="ft43">5.</SPAN><SPAN class="ft44">The prevention of and fight against cybercrime shall be strength- ened.</SPAN></P> <P class="p112 ft8">The ratification of the Council of Europe Convention on Cybercrime should be concluded.</P> <P class="p113 ft37">It should be considered whether a regulation can be introduced in the Public Access to Information and Secrecy Act whereby secrecy can be maintained regarding information that is exchanged between law enforcement agencies and other agencies involved in law enforcement work within the area of cyber security.</P> <P class="p125 ft8">A review of the provisions on coercive measures in Chapters 27 and 28 of the Swedish Code of Judicial Procedure and other sections of law shall be conducted to ensure that law enforce- ment agencies are able to carry out their activities in the digital environment.</P> <P class="p126 ft15"><SPAN class="ft43">6.</SPAN><SPAN class="ft47">Sweden shall be a strong international partner.</SPAN></P> <P class="p127 ft8">The Government will ensure that Sweden takes resolute and consistent action in all relevant international and regional forums.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">26</P> </DIV> </DIV> <DIV id="page_27"> <P class="p4 ft7">1 Författningsförslag</P> <P class="p128 ft33"><SPAN class="ft33">1.1</SPAN><SPAN class="ft48">Förslag till</SPAN></P> <P class="p129 ft49">förordning för statliga myndigheters informationssäkerhet</P> <P class="p130 ft10">Härigenom föreskrivs följande.</P> <P class="p131 ft16">Inledande bestämmelser</P> <P class="p132 ft8"><SPAN class="ft50">1 § </SPAN>Bestämmelserna i denna förordning syftar till att främja säker informationshantering i samhället genom att säkerställa att statliga myndigheters informationshantering uppfyller sådana krav på infor- mationssäkerhet att myndighetens verksamhet kan utföras på ett till- fredsställande sätt.</P> <P class="p133 ft8"><SPAN class="ft50">2 § </SPAN>Denna förordning innehåller föreskrifter som dels ställer krav på myndigheternas informationssäkerhetsarbete, dels reglerar det natio- nella myndighetsrådets uppgifter.</P> <P class="p78 ft9"><SPAN class="ft39">3 § </SPAN>Bestämmelserna i 11, 19 och 20 §§ gäller för statliga myndigheter under regeringen, med undantag av Regeringskansliet, kommitté- väsendet och Försvarsmakten. För utlandsmyndigheterna tillämpas bestämmelserna endast i den utsträckning som bestäms i föreskrifter som meddelas av Regeringskansliet.</P> <P class="p134 ft20">27</P> </DIV> <DIV id="page_28"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Författningsförslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td54"><P class="p16 ft16">Definitioner</P></TD> <TD class="tr0 td20"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td33"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td26"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td46"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr6 td54"><P class="p16 ft10"><SPAN class="ft16">4 § </SPAN>I denna förordning avses med</P></TD> <TD class="tr6 td20"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr6 td36"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr6 td33"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr6 td26"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr6 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr6 td46"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr6 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr1 td54"><P class="p135 ft10">informationssäkerhet</P></TD> <TD colspan=2 class="tr1 td55"><P class="p16 ft10">förmågan</P></TD> <TD colspan=2 class="tr1 td56"><P class="p32 ft10">att</P></TD> <TD colspan=3 class="tr1 td57"><P class="p17 ft12">upprätthålla</P></TD> </TR> <TR> <TD colspan=4 class="tr0 td37"><P class="p136 ft10">konfidentialitet,</P></TD> <TD colspan=3 class="tr0 td43"><P class="p37 ft10">riktighet,</P></TD> <TD class="tr0 td36"><P class="p17 ft10">till-</P></TD> </TR> <TR> <TD colspan=8 class="tr0 td58"><P class="p136 ft10">gänglighet och spårbarhet i sin</P></TD> </TR> <TR> <TD colspan=6 class="tr0 td59"><P class="p136 ft10">informationshantering,</P></TD> <TD class="tr0 td46"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td54"><P class="p135 ft10">samhällsviktig verksamhet</P></TD> <TD colspan=3 class="tr0 td60"><P class="p16 ft10">verksamhet</P></TD> <TD colspan=2 class="tr0 td61"><P class="p16 ft10">som</P></TD> <TD colspan=2 class="tr0 td48"><P class="p17 ft10">uppfyller</P></TD> </TR> <TR> <TD colspan=8 class="tr0 td58"><P class="p136 ft10">det ena eller båda av följande</P></TD> </TR> <TR> <TD colspan=2 class="tr0 td62"><P class="p136 ft10">villkor:</P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td33"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td26"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td46"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td54"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=7 class="tr0 td63"><P class="p16 ft10">1. ett bortfall av eller en svår</P></TD> </TR> <TR> <TD colspan=2 class="tr0 td62"><P class="p136 ft10">störning</P></TD> <TD class="tr0 td36"><P class="p137 ft10">i</P></TD> <TD colspan=4 class="tr0 td64"><P class="p16 ft10">verksamheten</P></TD> <TD class="tr0 td36"><P class="p17 ft10">kan</P></TD> </TR> <TR> <TD colspan=2 class="tr0 td62"><P class="p136 ft10">ensamt</P></TD> <TD class="tr0 td36"><P class="p138 ft12">eller</P></TD> <TD colspan=4 class="tr0 td64"><P class="p139 ft10">tillsammans</P></TD> <TD class="tr0 td36"><P class="p17 ft12">med</P></TD> </TR> <TR> <TD colspan=3 class="tr0 td65"><P class="p136 ft12">motsvarande</P></TD> <TD colspan=5 class="tr0 td66"><P class="p17 ft10">händelser i andra</P></TD> </TR> <TR> <TD colspan=8 class="tr0 td58"><P class="p136 ft11">verksamheter på kort tid leda till</P></TD> </TR> <TR> <TD colspan=8 class="tr0 td58"><P class="p136 ft10">att en allvarlig kris inträffar i</P></TD> </TR> <TR> <TD colspan=3 class="tr0 td65"><P class="p136 ft10">samhället,</P></TD> <TD class="tr0 td33"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td26"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td46"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr0 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> <TR> <TD class="tr0 td54"><P class="p16 ft17">&nbsp;</P></TD> <TD colspan=4 class="tr0 td67"><P class="p16 ft10">2. verksamheten</P></TD> <TD class="tr0 td10"><P class="p140 ft10">är</P></TD> <TD colspan=2 class="tr0 td48"><P class="p17 ft10">nödvän-</P></TD> </TR> <TR> <TD colspan=8 class="tr0 td58"><P class="p136 ft11">dig eller mycket väsentlig för att</P></TD> </TR> <TR> <TD colspan=8 class="tr0 td58"><P class="p136 ft10">en redan inträffad allvarlig kris i</P></TD> </TR> <TR> <TD colspan=8 class="tr1 td58"><P class="p136 ft12">samhället ska kunna hanteras så</P></TD> </TR> <TR> <TD class="tr0 td54"><P class="p136 ft10">att</P></TD> <TD colspan=5 class="tr0 td68"><P class="p139 ft12">skadeverkningarna</P></TD> <TD colspan=2 class="tr0 td48"><P class="p17 ft10">blir så</P></TD> </TR> <TR> <TD colspan=5 class="tr12 td69"><P class="p136 ft10">små som möjligt.</P></TD> <TD class="tr12 td10"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr12 td46"><P class="p16 ft17">&nbsp;</P></TD> <TD class="tr12 td36"><P class="p16 ft17">&nbsp;</P></TD> </TR> </TABLE> <P class="p141 ft16">Myndighetens informationssäkerhetsarbete</P> <P class="p142 ft9"><SPAN class="ft39">5 § </SPAN>Varje myndighet ansvarar för att, genom ett risk- och sårbarhetsbaserat, systematiskt och processinriktat arbetssätt, upp- rätthålla en tillräcklig nivå av informationssäkerhet för den in- formation de ansvarar för eller hanterar i tjänster som myndigheten levererar till en annan organisation. Myndigheten ska i sitt informa- tionssäkerhetsarbete särskilt beakta behovet av ledningssystem och etablerade standarder för informationssäkerhet.</P> <P class="p143 ft10"><SPAN class="ft16">6 § </SPAN>Det ska i myndighetens ledning finnas en person med ett ut- pekat ansvar för informationssäkerhetsfrågor.</P> <P class="p144 ft9">Myndigheten ska utse en eller flera personer som leder och sam- ordnar det praktiska arbetet med informationssäkerhet, samt i övrigt</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">28</P> </DIV> </DIV> <DIV id="page_29"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td70"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td60"><P class="p16 ft36">Författningsförslag</P></TD> </TR> </TABLE> <P class="p145 ft10">tydliggöra roller och ansvar för informationssäkerhetsarbetet i orga- nisationen.</P> <P class="p144 ft10">Myndigheten ska aktivt, genom utbildning och övning, verka för att en god säkerhetskultur etableras i organisationen.</P> <P class="p146 ft10"><SPAN class="ft16">7 § </SPAN>Myndigheten ska kartlägga sina informationsprocesser och klassi- ficera sin information med utgångspunkt i krav på konfidentialitet, riktighet, tillgänglighet och spårbarhet.</P> <P class="p147 ft8">Inträffade <NOBR>it-incidenter</NOBR> i organisationen ska kunna identifieras och hanteras.</P> <P class="p148 ft37">Beroende på klassning samt identifierade hot, risker och sårbar- heter ska lämpliga säkerhetsåtgärder vidtas. För offentlig förvaltning utvecklade krav- och skyddsnivåer ska följas i detta arbete.</P> <P class="p149 ft9"><SPAN class="ft39">8 § </SPAN>Myndigheten ska, med stöd av risk- och sårbarhetsanalyser, välja och använda säkra <NOBR>it-produkter</NOBR> vid hantering av information där bristande informationssäkerhet kan medföra en betydande försämring av myndighetens förmåga att bedriva sin verksamhet. I de fall säkra it- produkter finns utpekade i verkställighetsföreskrifter som meddelats med stöd av denna förordning ska dessa användas.</P> <P class="p150 ft10"><SPAN class="ft16">9 § </SPAN>Myndigheten ska följa upp sitt eget informationssäkerhets- arbete och i en årlig plan dokumentera de bedömningar som görs avseende hot, risker och sårbarheter samt redogöra för arbetet som bedrivs i enlighet med kraven i <NOBR>7–8</NOBR> §§.</P> <P class="p151 ft8">Myndigheten ska med stöd av kontinuitetsplanering upprätt- hålla en sådan nivå av informationssäkerhet att myndigheten har god förmåga att hantera sina uppgifter under fredstida krissitua- tioner och höjd beredskap. I kontinuitetshanteringsarbetet ska sådana hot, risker och sårbarheter som avses i 7 § 3 st beaktas.</P> <P class="p152 ft8"><SPAN class="ft50">10 § </SPAN>Kraven i <NOBR>5–9</NOBR> §§ gäller endast i tillämpliga delar sådana myndig- heter vars informationshantering eller vars informationssäkerhets- arbete administreras av en annan myndighet, en så kallad värdmyn- dighet.</P> <P class="p153 ft8">En sådan värdmyndighet som avses i första stycket ska infor- mera den anlitande myndigheten om inträffade <NOBR>it-incidenter</NOBR> som har eller kan ha påverkat säkerheten hos den anlitande myndighetens information.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">29</P> </DIV> </DIV> <DIV id="page_30"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Författningsförslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p154 ft16">Särskilda krav på informationssäkerhetsarbete</P> <P class="p155 ft9"><SPAN class="ft39">11 § </SPAN>De myndigheter som har ett särskilt ansvar för krisberedskapen enligt 11 § förordning (2006:942) om krisberedskap och höjd bered- skap och de myndigheter som Myndigheten för samhällsskydd och beredskap beslutar i enskilda fall, är skyldiga att uppfylla särskilda krav på informationssäkerhet rörande</P> <P class="p156 ft10"><SPAN class="ft10">–</SPAN><SPAN class="ft51">användning av säkra kommunikationsnät,</SPAN></P> <P class="p157 ft10"><SPAN class="ft10">–</SPAN><SPAN class="ft51">användning av sensorsystem för </SPAN><NOBR>it-incidentidentifiering,</NOBR> och</P> <P class="p157 ft10"><SPAN class="ft10">–</SPAN><SPAN class="ft51">kompetens för informationssäkerhetschef eller motsvarande.</SPAN></P> <P class="p158 ft16">Säkra kryptografiska funktioner</P> <P class="p159 ft9"><SPAN class="ft39">12 § </SPAN>Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Kustbevakningen, Försvarshögskolan, Totalförsvarets forskningsinsti- tut, Fortifikationsverket, Totalförsvarets rekryteringsmyndighet, Myndigheten för samhällsskydd och beredskap och Regeringskansliet ska ha säkra kryptografiska funktioner.</P> <P class="p110 ft10">Myndigheten för samhällsskydd och beredskap beslutar vilka övriga myndigheter som ska ha säkra kryptografiska funktioner.</P> <P class="p160 ft37">Myndigheten för samhällsskydd och beredskap beslutar även vilka företag som efter överenskommelse ska få tillgång till säkra krypto- grafiska funktioner. Myndigheten för samhällsskydd och beredskap får därutöver ingå avtal om tilldelning med kommuner och orga- nisationer som har behov av säkra kryptografiska funktioner.</P> <P class="p161 ft8"><SPAN class="ft50">13 § </SPAN>Försvarsmakten svarar för att Försvarsmakten, Försvarets materielverk, Försvarshögskolan, Totalförsvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet och Fortifikationsverket tilldelas säkra kryptografiska funktioner. Försvarets radioanstalt svarar för att övriga som enligt 12 § ska ha säkra kryptografiska funktioner tilldelas sådana.</P> <P class="p162 ft8"><SPAN class="ft50">14 § </SPAN>Myndigheter som tilldelats säkra kryptografiska funktioner ska under normal kontorstid kunna ta emot och sända krypterade med- delanden.</P> <P class="p103 ft9">När en situation av den omfattning som avses i 9 § andra stycket förordning (2006:942) om krisberedskap och höjd beredskap upp-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">30</P> </DIV> </DIV> <DIV id="page_31"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td70"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td60"><P class="p16 ft36">Författningsförslag</P></TD> </TR> </TABLE> <P class="p163 ft10">står och vid höjd beredskap ska myndigheterna kunna ta emot och sända krypterade meddelanden även under icke kontorstid.</P> <P class="p164 ft13">Myndigheten för samhällsskydd och beredskap, eller annars, efter samråd med Myndigheten för samhällsskydd och beredskap, annan myndighet som har behov av information, ska ingå överenskom- melse med sådant företag, sådan kommun eller organisation som tilldelats system med stöd av 12 § tredje stycket om när krypterade meddelanden ska kunna tas emot och sändas.</P> <P class="p69 ft16">Upphandling och utveckling av <NOBR>it-system</NOBR> och <NOBR>it-produkter</NOBR></P> <P class="p132 ft10"><SPAN class="ft16">15 § </SPAN>I samband med upphandling och utveckling av <NOBR>it-system</NOBR> eller <NOBR>it-produkter</NOBR> ska myndigheten i förhållande till leverantören klarlägga ansvar och roller för informationssäkerhetsarbetet. Myndigheten ska även fastställa processer för hur säkerhetskrav ska hanteras och hur uppföljning ska ske.</P> <P class="p165 ft13">Upphandlingen eller utvecklingen ska föregås av informations- klassning och riskanalys av berörd information. Resultatet av klass- ningen och riskanalysen ska vara styrande för utformningen av säker- hetskrav som ställs vid upphandling eller utveckling.</P> <P class="p166 ft8">Kraven i första och andra stycket gäller även vid anslutning till myndighetsgemensamma tjänster för <NOBR>e-förvaltning</NOBR> eller liknande syfte.</P> <P class="p14 ft8">En myndighet ska endast uppdra åt någon annan att hantera myn- dighetens information om hanteringen kan ske med tillräcklig säkerhet och enligt denna författning. I detta ingår att försäkra sig om att <NOBR>it-incidenter</NOBR> som har eller kan ha påverkat säkerheten rap- porteras till myndigheten.</P> <P class="p78 ft37"><SPAN class="ft52">16 § </SPAN>I samband med upphandling av <NOBR>it-produkter</NOBR> som är avsedda att användas i samhällsviktig verksamhet som myndigheten bedri- ver eller ansvarar för ska, då sådana finns tillgängliga, endast säkra och certifierade <NOBR>it-produkter</NOBR> användas. I de fall säkra <NOBR>it-produkter</NOBR> finns utpekade i verkställighetsföreskrifter ska dessa användas.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">31</P> </DIV> </DIV> <DIV id="page_32"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Författningsförslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft16"><NOBR>It-incidentrapportering</NOBR></P> <P class="p167 ft10"><SPAN class="ft16">17 § </SPAN>En myndighet ska till Myndigheten för samhällsskydd och be- redskap skyndsamt rapportera <NOBR>it-incidenter</NOBR> som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten levererar till en annan organisation.</P> <P class="p168 ft8">För incidenter som ska anmälas till en tillsynsmyndighet enligt bestämmelserna i 10 a § säkerhetsskyddsförordningen (1996:633) gäller rapporteringsplikten enligt första stycket inte förrän tillsyns- myndigheten har meddelat den rapporteringspliktiga myndigheten att incidenten inte längre är föremål för behandling hos tillsyns- myndigheten.</P> <P class="p69 ft16">Tillsyn, föreskrifter och myndighetsrådets uppgifter</P> <P class="p167 ft8"><SPAN class="ft50">18 § </SPAN>I Myndighetsrådet för informationssäkerhet ska representanter för myndigheter med särskilda uppgifter på informationssäkerhets- området ingå. Myndighetsrådet har till uppgift att stödja och ut- veckla informationssäkerhetsarbetet i samhället. I detta ingår bland annat att</P> <P class="p169 ft10"><SPAN class="ft10">–</SPAN><SPAN class="ft53">utgöra en gemensam berednings- och remissinstans på informa- tionssäkerhetsområdet,</SPAN></P> <P class="p170 ft8"><SPAN class="ft10">–</SPAN><SPAN class="ft54">bidra med stöd rörande informationssäkerhetsfrågor vid utfärd- andet av föreskrifter på informationssäkerhetsområdet,</SPAN></P> <P class="p169 ft8"><SPAN class="ft10">–</SPAN><SPAN class="ft54">förvalta och utveckla tillämpliga krav och kontrollordningar i bl.a. standarder för produkter och tjänster med bäring på informationssäkerhet i samhällsviktig verksamhet,</SPAN></P> <P class="p169 ft8"><SPAN class="ft10">–</SPAN><SPAN class="ft55">bistå med expertkompetens i samband med upphandling av tjänster och produkter på informationssäkerhetsområdet, och</SPAN></P> <P class="p40 ft10"><SPAN class="ft10">–</SPAN><SPAN class="ft53">utveckla krav- och skyddsnivåer.</SPAN></P> <P class="p171 ft10">Myndigheten för samhällsskydd och beredskap ska tillhanda-</P> <P class="p8 ft10">hålla en kanslifunktion för rådet.</P> <P class="p172 ft10">Myndighetsrådet ska vid behov inrätta arbetsgrupper.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">32</P> </DIV> </DIV> <DIV id="page_33"> <DIV id="dimg1"> <INGENBILD zsrc="H3B32333x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td70"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td60"><P class="p16 ft36">Författningsförslag</P></TD> </TR> </TABLE> <P class="p66 ft10"><SPAN class="ft16">19 § </SPAN>Myndigheten för samhällsskydd och beredskap ska utöva tillsyn över statliga myndigheters informationssäkerhetsarbete i enlighet med denna förordning, med undantag för sådant arbete som redan är föremål för tillsyn i enlighet med 39 § säkerhetsskyddsförordningen (1996:633).</P> <P class="p173 ft10"><SPAN class="ft16">20 § </SPAN>Myndigheten för samhällsskydd och beredskap får</P> <P class="p174 ft8"><SPAN class="ft12">1.</SPAN><SPAN class="ft56">meddela de föreskrifter som behövs för verkställigheten av de allmänna och särskilda krav på statliga myndigheters informations- säkerhetsarbete som avses i </SPAN><NOBR>5–11</NOBR> och 15 §§, med beaktande av natio- nell och internationell standard,</P> <P class="p175 ft13"><SPAN class="ft12">2.</SPAN><SPAN class="ft57">meddela de ytterligare föreskrifter som behövs för verkställig- heten av 14 §, utom i fråga om Försvarets materielverk, Försvarets radioanstalt, Kustbevakningen, Försvarshögskolan, Totalförsvarets forskningsinstitut och Fortifikationsverket,</SPAN></P> <P class="p174 ft8"><SPAN class="ft12">3.</SPAN><SPAN class="ft56">meddela de föreskrifter som behövs för verkställigheten av 16 § utom i fråga om myndigheter för vilka Försvarsmakten eller Säkerhetspolisen meddelar motsvarande föreskrifter enligt 44 § säkerhetsskyddsförordningen,</SPAN></P> <P class="p176 ft13"><SPAN class="ft12">4.</SPAN><SPAN class="ft57">meddela de ytterligare föreskrifter som behövs för verkställig- heten av sådan </SPAN><NOBR>it-incidentrapportering</NOBR> som avses i 17 §.</P> <P class="p177 ft10">Denna förordning träder i kraft den 1 januari 2016.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">33</P> </DIV> </DIV> <DIV id="page_34"> <DIV id="dimg1"> <INGENBILD zsrc="H3B32334x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Författningsförslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p178 ft33"><SPAN class="ft33">1.2</SPAN><SPAN class="ft48">Förslag till</SPAN></P> <P class="p179 ft49">förordning om ändring i säkerhetsskyddsförordningen (1996:633)</P> <P class="p180 ft9">Härigenom föreslås att det i säkerhetsskyddsförordningen (1996:633) ska införas en ny bestämmelse, 10 a §, av följande lydelse.</P> <P class="p181 ft10">10 a §</P> <P class="p182 ft8">Om det inträffar en it- incident som allvarligt kan på- verka säkerheten i ett informa- tionssystem där hemliga upp- gifter behandlas i en omfattning som inte är ringa ska den myn- dighet som berörs av incidenten skyndsamt anmäla incidenten till den myndighet som enligt 39 § utövar tillsyn över säker- hetsskyddet.</P> <P class="p183 ft10">Denna förordning träder i kraft den 1 januari 2016.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">34</P> </DIV> </DIV> <DIV id="page_35"> <P class="p184 ft40"><SPAN class="ft7">2</SPAN><SPAN class="ft58">Uppdragets genomförande och begrepp</SPAN></P> <P class="p185 ft33"><SPAN class="ft33">2.1</SPAN><SPAN class="ft48">Uppdraget</SPAN></P> <P class="p186 ft10">Enligt regeringens direktiv (dir. 2013:110) ska utredningen</P> <P class="p187 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">föreslå en nationell strategi för hantering och överföring av in- formation i elektroniska kommunikationsnät och </SPAN><NOBR>it-system,</NOBR></P> <P class="p188 ft60"><SPAN class="ft41"></SPAN><SPAN class="ft59">föreslå övergripande mål för samhällets informationssäkerhets- arbete, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig </SPAN><NOBR>it-infrastruktur,</NOBR></P> <P class="p187 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">klargöra begrepp som används inom informationssäkerhets- området och vid behov föreslå förtydligande eller alternativa benämningar och definitioner, särskilt av sådana som används i förslaget till nationell strategi, och</SPAN></P> <P class="p189 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">med utgångspunkt i uppdraget redovisa statliga myndigheters ansvar och roller utifrån de uppgifter och uppdrag på informationssäkerhetsområdet som de har i dag.</SPAN></P> <P class="p190 ft10">Direktiven finns i sin helhet i bilaga 1.</P> <P class="p191 ft33"><SPAN class="ft33">2.2</SPAN><SPAN class="ft48">Uppdragets genomförande</SPAN></P> <P class="p192 ft13">Arbetet inleddes i januari 2014. Totalt har utredningen haft fem utredningssammanträden med experter och sakkunniga varav ett internat. Utredningen har varit angelägen om att ha en öppen dialog och samverka med myndigheter och organisationer som på olika sätt kan beröras och ha intresse av vårt arbete samt bidra med kunskap. Vi har därför fortlöpande haft möten och kontakter med olika företrädare. Syftet har varit att både informera om utred-</P> <P class="p193 ft20">35</P> </DIV> <DIV id="page_36"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Uppdragets genomförande och begrepp</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p194 ft13">ningens arbete och att inhämta synpunkter. Utredningen har därför som stöd i arbetet också tillsatt en särskild referensgrupp med företrädare för närmast berörda myndigheter, Försvarets materiel- verk, Försvarets radioanstalt, Försvarsmakten, Myndigheten för samhällsskydd och beredskap, Polismyndigheten, Post- och tele- styrelsen och Säkerhetspolisen. Möten med referensgruppen har hållits vid fyra tillfällen. Referensgruppens ledamöter har dessutom beretts tillfällen att lämna kommentarer på texter till betänkandet, fram till tidpunkten då betänkandetexten förbereddes för slut- justering, varefter referensgruppen informerats. Utöver detta har utredningen vid flera tillfällen träffat berörda myndigheter för möten och studiebesök. Därtill har vi gjort besök vid Bodens kom- mun och Luleå tekniska universitet och haft möten och seminarier med Centrum för asymmetriska hot- och terrorismstudier (CATS) vid Försvarshögskolan, Totalförsvarets forskningsinstitut (FOI), Riksrevisionen, L M Ericsson, Säkerhets- och försvarsföretagen (SOFF) och Sveriges Kommuner och Landsting. Utredningen har också deltagit i den årliga konferensen om informationssäkerhet för offentlig sektor som anordnas av Myndigheten för samhälls- skydd och beredskap i samarbete med övriga <NOBR>SAMFI-myndigheter</NOBR> (se avsnitt 7.5.6). Utredningen har också deltagit i ett arrangemang av AFCEA (Armed Forces Communications and Electronics Association). Vidare har vi haft ett möte med av Post- och tele- styrelsen inbjudna teleoperatörer. Utredningen har också genom studiebesök och möten studerat hur arbetet med informations- och cybersäkerhetsfrågor bedrivs i Finland, Danmark, Estland, Italien, Österrike och USA. Vi har även samrått med Utredningen om säkerhetsskyddslagen (Ju 2011:14)och haft kontakt med Utredningen om effektivare användning av statens bredbandsinfra- struktur (N 2014:05).</P> <P class="p195 ft33"><SPAN class="ft33">2.3</SPAN><SPAN class="ft48">Utredningens inriktning</SPAN></P> <P class="p64 ft38">Ett sätt att beskriva lagstiftarens reglering av samhället, såsom det på olika sätt berörs av och har ansvar för informationssäkerhet, är att likna det vid en pyramid, vars bas är alla individer och företag som bor och verkar i landet. Här är regleringen sparsam. Mellansegmentet utgörs av det allmänna, dvs. stat, landsting och</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">36</P> </DIV> </DIV> <DIV id="page_37"> <DIV id="dimg1"> <INGENBILD zsrc="H3B32337x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td1"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td71"><P class="p16 ft36">Uppdragets genomförande och begrepp</P></TD> </TR> </TABLE> <P class="p163 ft8">kommuner. Här är regleringen betydligt tätare. I toppen av pyramiden återfinns de delar av statsapparaten som har ansvar för att i fred såväl som i ofred skydda rikets säkerhet. I denna del är regleringen omfattande. Figuren nedan söker beskriva detta.</P> <P class="p196 ft8">Toppen av pyramiden är redan högst reglerad och därför mycket säkerhetsmedveten och har sedan länge vidtagit nödvändiga åtgärder för att skydda sin information och sina kommunikationer. De utmaningar som kvarstår i pyramidens topp söker denna utred- ning inte föreslå lösningar på, utan hänvisar i de delarna till betän- kandet från Utredningen om säkerhetsskyddslagen (Ju 2011:14). Inte heller söker betänkandets åtgärder fånga in behoven hos alla och envar, hos företag, kommunala förvaltningar, skolor, sjukhus och hos andra som återfinns i pyramidens fot eller den del av mellansegmentet som inte är statligt. Betänkandets förslag tar endast sikte på den statliga delen – som återfinns i pyramidens mellansegment.</P> <P class="p197 ft10">Det är även med dessa begränsningar en tillräckligt stor uppgift</P> <P class="p198 ft9">– görlig, men på intet sätt lätt. Det är en nödvändig uppgift – staten kan inte bli ett ledande exempel eller ett stöd eller en trovärdig kravställare gentemot resten av samhället förrän den åtgärdat det som inte fungerar optimalt men som staten samtidigt skulle kunna</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">37</P> </DIV> </DIV> <DIV id="page_38"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Uppdragets genomförande och begrepp</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p199 ft8">åtgärda. När staten väl genomfört de föreslagna åtgärderna och nått målen i strategin, då uppstår också positiva effekter i pyramidens övriga delar; när exempelvis staten blivit en bättre kravställare i upphandlingshänseende kommer detta att kunna förenkla också t.ex. kommunal upphandling på motsvarande område och om staten under flera år konsekvent upphandlat med hänvisning till vissa standarder kommer detta sannolikt att med marknadskraf- ternas hjälp ha pressat priserna på området också till gagn för landsting och kommuner när de hänvisar till samma standarder. Positiva effekter uppstår också i pyramidens topp; till skillnad från dagsläget kommer i en framtid där strategins mål är uppfyllda kraft och resurser avdelade för rikets säkerhet odelat fokuseras i vet- skapen om att lägsta säkerhetsnivån i staten i stort har höjts till en betryggande nivå.</P> <P class="p200 ft8">Även med mål som avgränsats på sätt som framgår ovan så kommer de genomförda förslagen att få långtgående konsekvenser utanför den statliga sektorn. Så är fallet med allt som avser upp- handling men även vad avser kritisk infrastruktur som är föremål för statens ansträngningar som de beskrivs i betänkandet. Framför- allt gäller det infrastruktur för elektronisk kommunikation som i huvudsak är privat. Utredningen utvecklar dessa frågor och hur vi ser på statens ansvar inom informationssäkerhetsområdet i avsnitt 3.5.2.</P> <P class="p201 ft37">Utredningen ska enligt direktiven hålla sig informerad om och beakta Utredningen om säkerhetsskyddslagen (Ju 2011:14). Det uppdraget redovisas inom kort. I den utredningens direktiv <SPAN class="ft62">En modern säkerhetsskyddslag </SPAN>(dir. 2011:94) anger regeringen att det inte längre framstår som ändamålsenligt att säkerhetsskyddslagens bestämmelser om informationssäkerhet avgränsas till åtgärder som behövs för att skydda uppgifter som omfattas av sekretess och som rör rikets säkerhet. Utredarens uppdrag har därför varit att föreslå hur reglerna om informationssäkerhet, som en del av säkerhets- skyddet, bör vara utformade och med beaktande av övrig rättslig reglering på informationssäkerhetsområdet, utarbeta nödvändiga författningsförslag.</P> <P class="p202 ft8">Informationssäkerhet enligt säkerhetsskyddslagen avser åt- gärder för att förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet (hemliga uppgifter) inte obehörigen röjs, ändras eller förstörs (7 § första stycket 1 säkerhetsskydds-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">38</P> </DIV> </DIV> <DIV id="page_39"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td1"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td71"><P class="p16 ft36">Uppdragets genomförande och begrepp</P></TD> </TR> </TABLE> <P class="p203 ft8">lagen). Därutöver finns i 9 § säkerhetsskyddslagen en bestämmelse som uttryckligen anger att behovet av skydd vid automatisk informationsbehandling ska beaktas särskilt vid utformningen av informationssäkerheten.</P> <P class="p148 ft13">Ändamålen med säkerhetsskyddslagen är att skydda uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen och som rör rikets säkerhet. Det gäller bl.a. bestämmelserna om informationssäkerhet, som uteslutande är inriktade på att skydda uppgifter som omfattas av sekretess och som rör rikets säkerhet (toppen av pyramiden). Lagen ger därför små möjligheter att vidta åtgärder för att skydda statens <NOBR>it-systemen</NOBR> generellt. Samtidigt har utvecklingen på <NOBR>it-området</NOBR> inneburit att vissa informationssystem för bl.a. styrning, reglering och övervakning, t.ex. inom energi- försörjningen, fått en allt större betydelse för rikets säkerhet. Det gäller oavsett om det i systemen hanteras uppgifter som omfattas av sekretess som rör rikets säkerhet.</P> <P class="p148 ft13">Denna utrednings uppdrag (NISU 2014) har omfattat över- gripande och strategiska åtgärder för hantering och överföring av information i elektroniska kommunikationsnät och <NOBR>it-system.</NOBR> Utredningens förslag ska ses i ljuset av att säkerhetsskyddslagen är under översyn och att åtgärdsförslagen inte avser att träffa säker- hetsskyddslagens tillämpningsområde. Vidare begränsas förslagen till det statliga området och till utformning av författningsreglering på förordnings- och föreskriftsnivå. Våra förslag syftar vidare till att skapa en gemensam syn på en lägsta nivå av informations- säkerhet i staten och samtidigt höja denna.</P> <P class="p204 ft9">I diskussioner rörande informationssäkerhet aktualiseras inte sällan integritetsfrågan. På motsvarande sätt berörs informationssäkerhet ofta i integritetsdiskussioner. Flera verksamheter behandlar idag stora mängder av personuppgifter och annan information som är av känslig karaktär. Förutsättningen för att dessa organisationer ska kunna upprätthålla en hög grad av tillit bland medborgarna är att de kan skydda den känsliga informationen från otillbörlig åtkomst.</P> <P class="p148 ft13">Vårt uppdrag har varit att föreslå de övergripande målen som ska utformas så att de ger mål, riktlinjer för och prioriteringar som kan ligga till grund för myndigheternas eget informationssäker- hetsarbete. Utredningen föreslår därför inga åtgärder som reglerar det individuella förhållandet till staten. Förslagen handlar om det kollektiva skyddet för information som staten ska kunna erbjuda. I</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">39</P> </DIV> </DIV> <DIV id="page_40"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Uppdragets genomförande och begrepp</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">de delar utredningens förslag skulle kunna påverka den enskildes personliga integritet föreslår utredningen ytterligare utrednings- åtgärder för att väga in sådana aspekter.</P> <P class="p126 ft33"><SPAN class="ft33">2.4</SPAN><SPAN class="ft48">Klargörande av begrepp</SPAN></P> <P class="p64 ft9">I utredningens direktiv anges att det finns ett behov av att definiera begrepp och reda ut hur de förhåller sig till varandra samt vid behov ensa dessa begrepp för att undvika missförstånd. Vårt upp- drag har därför varit att klargöra begrepp. Under utredningens arbete har vi funnit att behovet framförallt gör sig gällande beträf- fande begreppen informationssäkerhet, cybersäkerhet och informa- tions- och cybersäkerhet. I detta avsnitt förtydligas dessa begrepp.</P> <P class="p206 ft16"><SPAN class="ft16">2.4.1</SPAN><SPAN class="ft63">Begrepp på området</SPAN></P> <P class="p75 ft9">En grundläggande definitionsfråga för hela den svenska informa- tionssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”. På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO <NOBR>27001-stan-</NOBR> darden, dels i ”Information Assurance” som utgår från ett natio- nellt säkerhetsperspektiv och där även organisation och policy in- går. I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen</P> <P class="p207 ft8">”informationssäkring”, vilket också infördes i <NOBR>SIS-nomenklatur.</NOBR> Begreppet – liksom den förenklade varianten ”övergripande in- formationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva. Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.</P> <P class="p208 ft13">Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk. Därmed har cybersäker- het en större internationell räckvidd med t.ex. folkrättsliga fråge- ställningar och normer på cyberområdet än det mer tekniska in- formationssäkerhetsbegreppet. Det senare har en större tyngd- punkt mot hård- och mjukvara samt standardisering.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">40</P> </DIV> </DIV> <DIV id="page_41"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td1"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td71"><P class="p16 ft36">Uppdragets genomförande och begrepp</P></TD> </TR> </TABLE> <P class="p209 ft8">Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då fråge- ställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella organ.</P> <P class="p119 ft16"><SPAN class="ft16">2.4.2</SPAN><SPAN class="ft63">Terminologiutveckling gällande cyberbegreppet</SPAN></P> <P class="p210 ft13">I takt med att internationella systemet i allt större utsträckning påverkas av informations- och kommunikationsteknologifrågor har också nya begrepp och delvis förändrade synsätt utvecklats. I det internationella engelskspråkiga samtalet används sedan längre tid en terminologi med förledet cyber, t.ex. cyber space affairs, cyber governance, cybersecurity och cyber defense. I de internationella policydiskussionerna har cybersecurity i allt större omfattning ersatt användandet av begreppet information security, även om de grundläggande tekniska utgångspunkterna i princip är desamma. En mycket viktig skillnad utgörs dock av uppfattningen att vissa av de stater och internationella organisationer som vidhåller bruket av begreppet information security i internationella policysammanhang har en annan syn på frågan om ett fritt och öppet informations- flöde på internet. I vissa fall gäller det även formerna för internets styrning och förvaltning. Vissa av dessa aktörer tenderar till att förbehålla sig rätten att betrakta information per se som en säker- hetsrisk mot vilken säkerhetsåtgärder kan behöva vidtas.</P> <P class="p59 ft9">Sverige och en rad andra länder delar inte denna syn. Ett viktigt sätt att manifestera denna hållning är att inte använda begreppet information security, som i dessa sammanhang alltså närmast har kommit att bli ett diplomatiskt kodord för en mer repressiv inställ- ning till informationsfrihet. Det ska dock noteras att i andra sammanhang kan begreppet information security vara relevant så som när man talar om uppgifter som är av sådan känslig karaktär att de skyddas genom reglering i toppen av pyramiden (figur 1), dvs. motsvarande säkerhetsskyddslagens tillämpningsområde. Exem- pel på sådana sammanhang är internationellt säkerhetssamarbete som bygger på rådets säkerhetsbestämmelser eller på inter- nationella säkerhetsskyddsåtaganden.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">41</P> </DIV> </DIV> <DIV id="page_42"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Uppdragets genomförande och begrepp</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p211 ft8">Även i frånvaro av formella konsensusdefinitioner tycks det finnas en bred – om inte helt samstämmig – anpassning till begrepp med förledet cyber, vilket också färgar av sig inom andra språk- områden än det engelska.</P> <P class="p72 ft8">I säkerhets- och utrikespolitiska sammanhang används därför i praktiken begrepp som cybersäkerhet, cyberrymden, cyberpolitik och liknande, även om dessa för närvarande saknar formella definitioner.</P> <P class="p126 ft16"><SPAN class="ft16">2.4.3</SPAN><SPAN class="ft63">Informationssäkerhet och cybersäkerhet</SPAN></P> <P class="p102 ft8">De två centrala begreppen i denna utredning och den del av verklig- heten den söker beskriva är informationssäkerhet och cybersäker- het. Informationssäkerhet innebär en strävan att skydda informa- tion så:</P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">att den alltid finns när den behövs (tillgänglighet)</SPAN></P> <P class="p213 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">att det går att lita på att den är korrekt och inte manipulerad eller förstörd (riktighet)</SPAN></P> <P class="p214 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">att endast behöriga personer får ta del av den (konfidentialitet) och</SPAN></P> <P class="p213 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">att det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet)</SPAN></P> <P class="p215 ft8">Informationssäkerhet omfattar såväl administrativa åtgärder för att skydda information (såsom föreskrifter, behörighetsrutiner, etc.) som tekniska åtgärder (såsom <NOBR>it-säkerhet</NOBR> och fysisk inpasserings- kontroll).</P> <P class="p72 ft8">Standarder är centrala i ett systematiskt informationssäker- hetsarbete. De anger krav och riktlinjer som är användbara för alla typer av organisationer. Verksamheter får möjligheter att arbeta utifrån beprövade erfarenheter och då enklare skapa förutsättningar för bättre säkerhet.</P> <P class="p208 ft37">Cybersäkerhet omfattar, enligt den definition EU använt i sin Cybersäkerhetsstrategi från 2013 de mekanismer och åtgärder som används för att skydda cyberdomänen, både civilt och militärt, mot de hot som är förknippade med eller som kan skada dess ömse- sidigt beroende nätverk och informationsinfrastruktur. Cyber-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">42</P> </DIV> </DIV> <DIV id="page_43"> <DIV id="dimg1"> <INGENBILD zsrc="H3B32343x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td1"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td71"><P class="p16 ft36">Uppdragets genomförande och begrepp</P></TD> </TR> </TABLE> <P class="p66 ft8">säkerhet strävar efter att bevara nätverkens och infrastrukturens tillgänglighet och integritet samt konfidentialiteten hos informa- tionen däri.</P> <P class="p216 ft65"><NOBR>Cyber-security</NOBR> commonly refers to the safeguards and actions that can be used to protect the cyber domain, both in the civilian and military fields, from those threats that are associated with or that may harm its interdependent networks and information infrastructure. Cyber- security strives to preserve the availability and integrity of the net- works and infrastructure and the confidentiality of the information contained therein. <SPAN class="ft64">1</SPAN></P> <P class="p109 ft8">Cybersäkerhet definieras vid International Telecommunications Union (ITU) enligt följande.</P> <P class="p217 ft66">Cybersecurity is the collection of tools, policies, security concepts, security safeguards, guidelines, risk management approaches, actions, training, best practices, assurance and technologies that can be used to protect the cyber environment and organization and user’s assets. Organization and user’s assets include connected computing devices, personnel, infrastructure, applications, services, telecommunications systems, and the totality of transmitted and/or stored information in the cyber environment. Cybersecurity strives to ensure the attainment and maintenance of the security properties of the organization and user’s assets against relevant security risks in the cyber environment.</P> <P class="p218 ft12">The general security objectives comprise the following: •Availability</P> <P class="p57 ft65">• Integrity, which may include authenticity and <NOBR>non-repudiation</NOBR></P> <P class="p57 ft12">• Confidentiality.<SPAN class="ft64">2</SPAN></P> <P class="p219 ft13">Begreppen används ofta utan särskillnad och i daglig hantering leder detta sällan till missförstånd. För svensk myndighetsintern verksamhet och med den sammanhängande normgivning går det utan tvekan bra att även framdeles använda begreppet informa- tionssäkerhet, medan större kontextuell precision är tillrådlig så fort en internationell dimension gör sig gällande; när ett större per- spektiv ska anläggas som räknar in samarbete med andra länder och skyddsåtgärder mot kända eller okända antagonistiska aktörer är cyberförstavelsen inte bara politiskt utan också tekniskt att föredra. Utredningen är därför av uppfattningen att Sverige i sina internationella relationer bör använda begreppet cybersäkerhet,</P> <P class="p220 ft69"><SPAN class="ft67">1</SPAN><SPAN class="ft68">Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, dokument JOIN(2013) 1 final, Brussels, 7.2.2013, sid. 3, fotnot 4.</SPAN></P> <P class="p221 ft71"><SPAN class="ft67">2</SPAN><SPAN class="ft70">Definition of cybersecurity, referring to </SPAN><NOBR>ITU-T</NOBR> X.1205, Overview of cybersecurity.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">43</P> </DIV> </DIV> <DIV id="page_44"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Uppdragets genomförande och begrepp</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p199 ft10">såvitt det inte i viss diskussion krävs t.ex. en till viss standard relaterad teknisk precision.</P> <P class="p222 ft9">För inrikes angelägenheter – dvs. där det är informationen snarare än landet, staten eller rättsordningen som är skyddsobjekt – täcker begreppet informationssäkerhet flertalet av de i betänkandet föreslagna åtgärderna, medan cybersäkerhetsbegreppet gör sig mer gällande när perspektivet avser svenskt förhållande gentemot andra hot. Begreppet ”informations- och cybersäkerhet” bör användas när båda delarna åsyftas, såsom skett t.ex. vid Myndigheten för samhällsskydd och beredskap där ett verksamhetsområde för informations- och cybersäkerhet bildats.</P> <P class="p223 ft8">Utredningen behandlar samtliga de ovan beskrivna situationerna och följaktligen används också båda begreppen i betänkandet. Utredningens bedömning är dock att behovet av exakthet i begreppsanvändningen gör sig mer eller mindre tydligt gällande i olika sammanhang. Detta innebär att i de fall utredningen lämnar förslag till åtgärder som innebär olika former av krav behöver begreppen användas med noggrannhet. I de fall det inte föreligger risk för missförstånd ställs lägre krav på begreppsanvändningen. Det betyder att i de delar av betänkandet där vi redogör för andra aktörers erfarenheter har vi endast återgett begreppen så som det beskrivits för oss.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">44</P> </DIV> </DIV> <DIV id="page_45"> <P class="p4 ft7">3 Allmänna utgångspunkter</P> <P class="p128 ft33"><SPAN class="ft33">3.1</SPAN><SPAN class="ft48">Inledning</SPAN></P> <P class="p192 ft13">I dagens samhälle hanteras information i elektroniska kommunika- tionsnät och <NOBR>it-system</NOBR> i större omfattning än någonsin. Det är av största vikt att alla aktörer i samhället kan känna tillit till denna information och hanteringen av den på alla nivåer i samhället. Digi- taliseringen innebär utöver fantastiska möjligheter för utveckling och tillväxt i samhället, även en ökad sårbarhet. Arbetet med in- formationssäkerhet är en angelägenhet för alla. I detta arbete behövs en bättre helhetssyn i vårt samhälle på vad som ska skyddas, vilka hoten är och vilka medel vi ska ha för att förstärka vårt skydd. En gemensam lägesuppfattning behövs som ger tillräcklig överblick och förutsättningar att prioritera insatser, särskilt vid allvarligare händelser som berör flera sektorer.</P> <P class="p59 ft13">Utredningen har som uppdrag att föreslå en nationell strategi för hantering och överföring av information i elektroniska kom- munikationsnät och <NOBR>it-system</NOBR> samt föreslå övergripande mål för samhällets informationssäkerhetsarbete, och hur Sverige ska upp- rätthålla säkerhet och integritet i samhällsviktig <NOBR>it-infrastruktur.</NOBR> Enligt direktiven krävs för att stärka samhällets säkerhet att skyddsvärden, hot och skyddsmedel ses i ett sammanhang.</P> <P class="p15 ft8">Informationssäkerhet kan sägas fokusera på den information som data representerar och dess skyddsbehov. I följande avsnitt resoneras kring vilken information som är värdefull för samhället, vilken information samhället har möjlighet att skydda och gräns- snitt där staten har möjlighet att påverka. Den nationella strategin ska enligt direktiven avse hantering och överföring av information i elektroniska kommunikationsnät och <NOBR>it-system.</NOBR> Vidare ska den</P> <P class="p224 ft20">45</P> </DIV> <DIV id="page_46"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Allmänna utgångspunkter</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft10">nationella strategin hantera risker på alla nivåer i samhället och bör även inkludera alla relevanta aspekter och aktörer.</P> <P class="p225 ft8">Vad som behöver skyddas kan naturligtvis i förlängningen sägas vara andra värden än den information som data representerar. Informationssäkerhet anses i de flesta sammanhang omfatta informationens konfidentialitet, tillgänglighet, riktighet och spår- barhet. Det rör sig således inte endast om den information som data representerar utan även om hur information används. Med ett vidare perspektiv är andra värden som ska skyddas samhällets funktionalitet och effektivitet, rättssäkerhet, befolkningens liv och hälsa, men också ytterst rikets säkerhet, demokrati och mänskliga fri- och rättigheter.</P> <P class="p206 ft33"><SPAN class="ft33">3.2</SPAN><SPAN class="ft48">Vilken information är värdefull för samhället</SPAN></P> <P class="p64 ft13">Information från den offentliga sektorn spelar en viktig roll för hur marknaden fungerar och hur individer kan tillvara och utöva sina fri- och rättigheter. Utan användarvänlig och lättillgänglig admini- strativ, rättslig, ekonomisk eller annan offentlig information kan de samhälleliga aktörerna och ekonomiska aktörerna inte fatta väl- underbyggda beslut. Det finns även stora mängder information som är av avgörande betydelse för samhällets funktionalitet. Här kan exempelvis nämnas informationshanteringen i betalningssyste- men, styrsystem för samhällsviktig eller kritisk <NOBR>it-infrastruktur.</NOBR></P> <P class="p226 ft13">Genom lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen har Europaparlamentets och rådets direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn <NOBR>(PSI-direktivet)</NOBR> genomförts. Lagen gäller inte för handlingar eller uppgifter i handlingar som inte får tillhandahållas eller för begränsningar i vidareutnyttjandet av dessa som en myndighet är skyldig att besluta om eller som annars följer av någon författning. Som huvudregel omfattas inte heller myndigheters informations- utbyte av lagen. Ur förarbetena till lagen är följande hämtat (prop. 2009/10:175 s. 32, 67 och 131).</P> <P class="p112 ft12">En del av den information som finns hos kommunala och statliga myn- digheter utgör en samhällsgemensam resurs av stort värde för med- borgare, företagen och det civila samhället. Det ska vara så enkelt som möjligt för så många som möjligt att tillgodogöra sig värdet av denna informationssamling.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">46</P> </DIV> </DIV> <DIV id="page_47"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td72"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td73"><P class="p16 ft36">Allmänna utgångspunkter</P></TD> </TR> </TABLE> <P class="p227 ft12">Genom att till stor del betrakta offentlig information och <NOBR>e-tjänster</NOBR> som gemensamma resurser som kan användas av andra aktörer kan förvaltningen bidra till samhällets utvecklingsförmåga och innova- tionskraft.</P> <P class="p228 ft65">Möjligheterna att få tillgång till, att bearbeta och att sprida förvalt- ningens information är centralt för förvaltningens legitimitet och dess demokratiska förankring. Utöver insyn och kontroll över offentlig verksamhet, kan medborgare och organisationer använda informa- tionen för sin egen kunskapsuppbyggnad, som underlag för deltagande i det offentliga samtalet och i formella politiska processer. Information från myndigheter kan också användas som underlag för att fatta välavvägda beslut när det gäller individuella val som rör det allmännas tjänster, t.ex. välfärdsval. Sådan information kan därför bidra till att stärka människors självstyre och förbättra förutsättningarna för ut- övandet av medborgerliga rättigheter.</P> <P class="p150 ft8">I detta sammanhang behandlas således värdet för samhället av den information i förvaltningen som är offentlig och vikten av att den görs tillgänglig. En förutsättning för att detta värde ska föreligga är att informationens riktighet kan säkerställas.</P> <P class="p229 ft8">I säkerhetsskyddslagen (1996:627) tar informationssäkerhet sikte på uppgifter som omfattas av sekretess och som rör rikets säkerhet (7 § 1).</P> <P class="p148 ft9">Offentlighetsprincipen, reglerna om allmänna handlingars offent- lighet, innebär bl.a. en rätt att ta del av allmänna handlingar. Rätten till insyn i allmänna handlingar förutsätter att det är fråga om en offentlig handling, dvs. en allmän handling som inte är hemlig till följd av en bestämmelse om sekretess. Rätten att ta del av hand- lingar får begränsas endast när det är påkallat med hänsyn till rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation, rikets centrala finanspolitik, penningpolitik eller valutapolitik, myndighets verksamhet för inspektion, kontroll eller annan tillsyn, intresset att förebygga eller beivra brott, det allmän- nas ekonomiska intresse, skyddet för enskilds personliga eller ekonomiska förhållanden och intresset att bevara djur- eller växtart (2 kap. 2 § TF). Begränsningar ska anges i offentlighets- och sekretesslagen eller i andra lagar, till vilka hänvisningar görs i offentlighets- och sekretesslagen. Sekretessens styrka och räckvidd varierar och är ett uttryck för den avvägning som gjorts mellan insynsintresset och skyddet av det allmänna eller enskilda intresset.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">47</P> </DIV> </DIV> <DIV id="page_48"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Allmänna utgångspunkter</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p230 ft13">Personuppgifter är en typ av information som ges ett sådant särskilt skydd. Enligt personuppgiftslagen gäller särskilda begräns- ningar i behandlingen av vissa kategorier av personuppgifter. I lagen betecknas dessa som ”känsliga” personuppgifter. Känsliga uppgifter är personuppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och personuppgifter som rör hälsa eller sexualliv.</P> <P class="p223 ft8">Skyddsbehovet styrs inte bara av den information som data representerar, utan också av i vilken verksamhet informationen används.</P> <P class="p223 ft8">I 6 kap. 3 § lagen (2003:389) om elektronisk kommunikation finns bestämmelser om att den som tillhandahåller en allmänt till- gänglig elektronisk kommunikationstjänst ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att upp- gifter som behandlas i samband med tillhandahållande av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet.</P> <P class="p231 ft8">I en nationell strategi för att förebygga uppkomsten av terrorism, förhindra terroristattentat och förbereda för det fall ett terrorist- attentat ändå inträffar (skr. 2011/12:73) inkluderar viktiga åtgärder att stärka <NOBR>it-säkerhet.</NOBR> I skrivelsen berörs arbetet med att förebygga allvarliga elektroniska angrepp riktade mot samhällsviktiga <NOBR>it-system.</NOBR> Försvarets radioanstalt har utvecklat ett tekniskt detekterings- och varningssystem för samhällsviktig verksamhet och kritisk infra- struktur.</P> <P class="p232 ft9">Uttrycket samhällsviktig verksamhet används även i förord- ningen (2006:942) om krisberedskap och höjd beredskap. I den risk- och sårbarhetsanalys som varje myndighet ska göra årligen ska myndigheten särskilt beakta att de mest nödvändiga funktionerna kan upprätthållas i samhällsviktig verksamhet (9 § andra stycket 3). Enligt föreskrifter utfärdade av Myndigheten för samhällsskydd och beredskap, MSB, (MSBFS 2010:7) om statliga myndigheters risk- och sårbarhetsanalyser ska med samhällsviktig verksamhet i föreskrifterna avses en verksamhet som uppfyller minst ett av följande villkor. Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället. Verksamheten är nödvändig eller mycket väsentlig för</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">48</P> </DIV> </DIV> <DIV id="page_49"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td72"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td73"><P class="p16 ft36">Allmänna utgångspunkter</P></TD> </TR> </TABLE> <P class="p203 ft10">att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.</P> <P class="p233 ft34"><SPAN class="ft13">I </SPAN>Handlingsplan för skydd av samhällsviktig verksamhet <SPAN class="ft13">(MSB, december 2013) anges samhällssektorer inom vilka merparten av viktiga samhällsfunktioner och samhällsviktiga verksamheter finns. Bland de samhällssektorer som nämns finns energiförsörjning, finansiella tjänster, handel och industri, hälso- och sjukvård samt omsorg, information och kommunikation, kommunalteknisk försörj- ning, livsmedel, offentlig förvaltning, lednings- och stödfunktioner, skydd och säkerhet, socialförsäkringar och transporter. Uttrycket samhällsviktig används även beträffande infrastruktur och uttrycket samhällsviktig </SPAN><NOBR><SPAN class="ft13">it-infrastruktur</SPAN></NOBR><SPAN class="ft13"> används i beskrivningen av utred- ningens uppdrag, se bilaga 1.</SPAN></P> <P class="p234 ft73"><SPAN class="ft33">3.3</SPAN><SPAN class="ft72">Vilken information har samhället möjlighet att skydda</SPAN></P> <P class="p235 ft9">Frågan om vilken information samhället har möjlighet att skydda är kopplad till frågorna om vilka informationsrelaterade hot respektive vilka skyddsmedel som finns. I avsnitt 4.4 redogörs övergripande för den aktuella informationsrelaterade hotbilden. De följande kapitlen om myndigheter med särskilt ansvar för informationssäkerhet (kap. 6), samhällets informationssäkerhet (kap. 7) i Sverige och den internationella utvecklingen på informationssäkerhetsområdet (kap. 8) ger ett underlag om hur information kan skyddas.</P> <P class="p148 ft13">Om man ser på frågan mera övergripande kan den också avse vilka styrmedel som finns och i vilka sammanhang samhället har möjlighet att skydda information. Redogörelsen för informations- säkerhetsarbetet i Sverige kan visa på de möjligheter, men också de begränsningar som finns att skydda information i den offentliga sektorn, dvs. i både den statliga och den kommunala förvaltningen. Det finns stora skillnader mellan den statliga och den kommunala sektorn när det gäller regeringens möjligheter att styra. Principen om kommunal självstyrelse (1 kap. 1 § RF) gäller för all kommunal verksamhet, dvs. såväl verksamhet inom den fria sektorn som den specialreglerade sektorn. När det gäller de statliga verksamheterna är regeringens styrning mer direkt.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">49</P> </DIV> </DIV> <DIV id="page_50"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Allmänna utgångspunkter</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p211 ft8">Näringslivets betydelsefulla roll som den största ägaren och förvaltaren av samhällsviktig informationsinfrastruktur framhålls i direktiven. Genomgången i nämnda kapitel ger också en bild av vilka möjligheter och begränsningar som finns för det offentliga att kunna bidra till skyddet av information i den privata sektorn.</P> <P class="p103 ft8">Inom såväl den offentliga som privata sektorn kan utkontrak- tering s.k. outsourcing och användandet av molntjänster innebära särskilda utmaningar i arbetet med att skydda information.</P> <P class="p126 ft33"><SPAN class="ft33">3.4</SPAN><SPAN class="ft48">Gränssnitt där staten kan påverka</SPAN></P> <P class="p236 ft9">I kapitel 5 ges exempel på hur det i regleringen ställs särskilda krav på hanteringen av en viss typ av information, krav på driftsäkerhet och säkerhet när uppgifter behandlas för de som tillhandahåller all- männa kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. Det finns i regleringen också krav på åtgärder av betydelse för informationssäkerhetsarbetet som t.ex. att genomföra risk- och sårbarhetsanalyser. Det är krav som följs upp av den myndighet som har tillsynsansvar för det aktuella området<SPAN class="ft74">.</SPAN></P> <P class="p103 ft13">Ett grundläggande sätt som staten har att påverka är genom att höja medvetenheten och kunskapen i hela samhället om informa- tionssäkerhet. Det kan ske genom utbildning samt forskning och utvecklingsarbete. Andra viktiga områden är brottsbekämpning och brottsförebyggande verksamhet. Att <NOBR>it-relaterade</NOBR> brott blir beivrade ökar allmänpreventionen och förtroendet för <NOBR>it-tjänsterna.</NOBR></P> <P class="p103 ft9">Det finns även gränssnitt där statens påverkan av informa- tionssäkerheten i samhället är mer indirekt. Det kan handla om statlig finansiering, upphandling, rådgivning och uppdrag till sam- verkan mellan offentliga och privata aktörer. Ett särskilt exempel på situationer där staten har möjlighet att påverka informations- säkerheten för stora delar av samhället är i samband med upphand- lingar, exempelvis vid utveckling av stora myndighetsgemensamma system för <NOBR>e-förvaltning</NOBR> av olika slag. En annan del är att höja beställarkompetensen inom såväl privat som offentlig sektor. Även kunskapsökning i form av forskningsstöd, inriktning av utbild- ningssektorn i form av läroplaner, samt övrigt stöd till skapandet av en säkerhetskultur utgör medel som står till statens förfogande. Andra centrala delar i detta arbete är att skapa förmåga till läges-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">50</P> </DIV> </DIV> <DIV id="page_51"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td72"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td73"><P class="p16 ft36">Allmänna utgångspunkter</P></TD> </TR> </TABLE> <P class="p66 ft8">beskrivningar över <NOBR>it-incidenter</NOBR> och genom riktade insatser kunna minska påverkan på samhället. Därtill kan staten verka för att underlätta internationellt kunskapsutbyte på området. En ökad kunskap om frågorna i samhället innebär i förlängningen även ökade kundkrav på privata aktörer.</P> <P class="p15 ft9">Teleoperatörer och andra företag bygger in säkerhet i sina system utifrån kommersiella grunder. Det kan betyda att bristande säkerhet kan accepteras så länge förlusterna inte överstiger kostnaderna för förebyggande åtgärder, krishantering, återställning och kundförlust. I de fall där det inte finns ekonomiska incitament för teleoperatörerna att erbjuda god robusthet har Post- och telestyrelsen (PTS) exempelvis bidragit med medel som utgörs av s.k. beredskapsavgifter från större teleoperatörer. PTS är också drivande i arbetet med att skapa och delta i samarbeten mellan privata aktörer i el- och telekomsektorn och offentliga aktörer.</P> <P class="p15 ft13">MSB lämnar råd och stöd i fråga om det förebyggande arbetet på informationssäkerhetsområdet till statliga myndigheter, kommuner och landsting samt företag och organisationer. Detta beskrivs i kapitlet om MSB. Här kan även nämnas myndighetens stöd i form av medel för att förbättra krisberedskapen och i förlängningen samhällets motståndskraft mot allvarliga händelser, genom det s.k. krisberedskapsanslaget som kan ansökas hos MSB. Alla de myndig- heter som nämns i bilagan till förordningen (2006:942) om kris- beredskap och höjd beredskap kan söka projektmedel från detta anslag, utifrån de förutsättningar som regeringen satt upp. Detta gäller även förbättringar av krisberedskapen på informationssäker- hetsområdet. Anslaget ska användas för särskilda satsningar som ligger utanför det ansvar som varje myndighet, i enlighet med ansvarsprincipen, har för att säkerställa att samhällsviktig verksamhet kan bedrivas även när den utsätts för allvarliga störningar.</P> <P class="p191 ft33"><SPAN class="ft33">3.5</SPAN><SPAN class="ft48">Statens ansvar</SPAN></P> <P class="p192 ft37">Som påpekats av InfoSäkutredningen i betänkandet <SPAN class="ft62">Säker informa- tion Förslag till informationssäkerhetspolitik </SPAN>(SOU 2005:42) värnar vi i Sverige om en rad principer som ska garantera att beslut fattas så nära den verksamhet som kommer att påverkas av beslutets inne-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">51</P> </DIV> </DIV> <DIV id="page_52"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Allmänna utgångspunkter</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p237 ft8">håll som möjligt. Det gäller ända ner på individnivå, där enskilda aktörer så långt möjligt ges ett avgörande inflytande över beslut som rör deras egen välfärd. Med decentraliserat ansvar och besluts- utrymme följer också ansvar för den egna verksamheten. Det finns dock verksamheter, funktioner och situationer då enskilda företag och individer inte förmår, eller rimligen kan avkrävas, att axla detta ansvar helt på egen hand. I vissa fall är det nödvändigt att fatta kollektiva beslut och att flytta över delar av ansvaret till offentliga organ.</P> <P class="p238 ft8">En diskrepans föreligger ibland mellan vad som är rationellt handlande för en enskild och vad som är rationellt för samhället. Det finns ett flertal motiv utöver politiska överväganden till offent- liga satsningar inom olika områden. Dessa har i stor utsträckning hämtat inspiration ur ekonomiska teorier om statens roll i samhällsekonomin. Sett ur ekonomisk synvinkel kan marknaden hävdas innehålla en del brister, eller marknadsimperfektioner, till exempel över- eller underkonsumtion, bristande beställarkompe- tens, otillräcklig information vid beslutstillfället och behov som marknaden inte kan eller vill tillgodose på egen hand. Här kan det vara nödvändigt för samhället, genom staten, att intervenera för att skapa balans och ökad samhällsnytta.</P> <P class="p201 ft13">Försvar, rättsväsende, räddningstjänst och vissa delar av infra- strukturen är klassiska exempel på kollektiva nyttigheter. Dessa funktioner kommer alla till godo. Krishantering på samhällsnivå har i grunden samma karaktär som dessa verksamheter. Om det offentliga inte engagerar sig inom dessa områden kan man befara att satsningar som görs blir otillräckliga eller till och med uteblir. Det beror på att medborgarna har svårt att överblicka och värdera de risker som finns för allvarliga kriser eller brister i säkerheten i till exempel den infrastruktur som är avgörande för samhällets funktionsförmåga. Allmänheten har svårt att förbereda sig för egen del om offentliga organ inte gör riskbedömningar och förmedlar resultatet. Allvarliga kriser, som följer av till exempel brist på säkerhet i infrastruktur, kännetecknas också av att ett stort antal människor och företag samtidigt drabbas av konsekvenserna.</P> <P class="p201 ft9">Statens roll är flerfaldig. Det åvilar staten att lösa uppgifterna att förebygga, förhindra och stödja i hanteringen av <NOBR>it-relaterade</NOBR> inci- denter som är av sådan omfattning att det inte är rimligt att begära att drabbade själva ska vidta fullständiga åtgärder. För att det ska</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">52</P> </DIV> </DIV> <DIV id="page_53"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td72"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td73"><P class="p16 ft36">Allmänna utgångspunkter</P></TD> </TR> </TABLE> <P class="p66 ft8">vara möjligt måste staten vara den som har det övergripande per- spektivet och ansvar för att korrekt omvärldsbevakning kontinuer- ligt tas fram. Staten har också rollen av att skapa ett organisatoriskt system för informationssäkerhetsarbetet som garanterar konti- nuitet och kvalitet avseende tillgänglighet, riktighet, konfiden- tialitet och spårbarhet.</P> <P class="p119 ft16"><SPAN class="ft16">3.5.1</SPAN><SPAN class="ft63">Uppgifter för statliga myndigheter</SPAN></P> <P class="p210 ft9">En uppgift för offentliga organ bör vara att upptäcka och identifiera säkerhetsbrister i samhällsviktig verksamhet. Det kan ske genom risk- och sårbarhetsanalyser för att upptäcka och identifiera förhållanden som kan utlösa allvarliga störningar. <NOBR>Informations-,</NOBR> utbildnings- och övningsinsatser som bygger på resultatet av sådana analyser är angelägna. Där så kan ske utan att riskera säkerheten bör stor öppenhet tillämpas beträffande resultatet av risk- och sårbarhets- analyser för att öka medvetenheten om eventuella allvarliga brister och göra det möjligt att vidta säkerhetsförbättrande åtgärder. Underlag för risk- och sårbarhetsanalyser måste även kunna omfattas av sekretess hos de myndigheter som de avser och som de lämnas ut till. Offentliga organ behöver också kunna bedriva en regelbunden säkerhetsinriktad revision i sin egen verksamhet. En framgångsrik säkerhetsrevision, inom myndigheter, förutsätter att ledningsnivån, som är ytterst ansvarig aktivt engagerar sig i arbetet.</P> <P class="p59 ft9">Att ha en god informationssäkerhet innebär att kunna lösa såväl vardagliga problem som att ha en beredskap för att hantera allvar- liga, omfattande incidenter och kriser som möjligen även drabbar andra verksamheter än den egna. Ett företags egen, grundläggande vardagssäkerhet är ingen statlig eller offentlig angelägenhet. Att skydda de interna informationssystemen, såväl tekniskt som admi- nistrativt, och att ha en beredskap för att hantera incidenter är ett ansvar som åligger var och en som förvaltar ett system. Staten kan dock ha en roll i att stimulera till säkerhetsåtgärder, upprätthålla en lägesbild över <NOBR>it-incidenter</NOBR> och att öka medvetenheten om sårbar- heten i informationstekniken. Ett företag har sålunda ansvar för sina egna system och privatpersoner har ansvar för sina datorer. Det kan dock vara en svårighet för den enskilde att överblicka aktuella sårbarheter och tillgängliga säkerhetsåtgärder. För att</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">53</P> </DIV> </DIV> <DIV id="page_54"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Allmänna utgångspunkter</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p239 ft37">skapa adekvata risk- och sårbarhetsanalyser krävs en noggrann omvärldsanalys och en överblick över hotbilden som sträcker sig längre än enskilda system och användare. Detta är inget statiskt dokument som användare kan ta del av, utan en process som måste bedrivas med kontinuitet. Ansvaret för helhetsbilden över sam- hällets samlade <NOBR>it-relaterade</NOBR> hotbild är en uppgift som bör åvila offentliga organ. Staten står för resurser och en kontinuitet, som inte kan vare sig krävas eller garanteras av någon annan aktör. Det är, som argumenteras ovan, rimligt att ansvaret för den dagliga säkerheten åvilar varje användare, förvaltare eller ägare av informationsteknik. För att hantera allvarligare incidenter, som kan komma att påverka den nationella säkerheten eller nationella intressen, måste givetvis staten ha det övergripande ansvaret. Det handlar om att kunna skydda medborgarna mot brott i form av övergrepp och oegentligheter samt att säkerställa att samhällsviktig verksamhet bedrivs med höga krav på funktionalitet och säkerhet. Det gäller även när nationella intressen bevakas inom EU och i internationella organ. Staten måste också ha ansvar för spelreglerna inom informationssäkerhetsområdet. Mot bakgrund av sin över- blick över samhällets säkerhetssituation och den hotbild som kan kopplas till informationssäkerheten föreslogs i SOU 2005:42 att staten skapar en struktur för att hantera extraordinära händelser. Staten har också ett eget intresse för informationssäkerheten inom sitt verksamhets- och ansvarsområde, i sin roll som ansvarig för myndighetsutövning och som ägare av statliga företag.</P> <P class="p240 ft16"><SPAN class="ft16">3.5.2</SPAN><SPAN class="ft63">Ett långtgående statligt ansvar</SPAN></P> <P class="p142 ft13">I modern tid har det ofta hävdats att alla har ett ansvar för informa- tionssäkerheten i samhället, vilket inte sällan leder till att ansvaret för konkreta åtgärder höljs i ett dunkel – allas ansvar blir lätt ingens. Utredningen vill därför understryka det som skiljer statens ansvar från övriga samhällsaktörers, och som gör det betydligt tyngre. Det är endast staten – inte individer, näringsliv, kommuner eller landsting – som har iklätt sig folkrättsliga förpliktelser gente- mot resten av världssamfundet. Häri ingår t. ex. åtaganden under Europakonventionen för mänskliga rättigheter (EKMR). Det är den svenska staten som har tagit ansvar för att skydda dess med-</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">54</P> </DIV> </DIV> <DIV id="page_55"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td72"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td73"><P class="p16 ft36">Allmänna utgångspunkter</P></TD> </TR> </TABLE> <P class="p145 ft8">borgares liv, hälsa, säkerhet, integritet och trygghet. Det är samma stat som i första tilläggsprotokollet till EKMR har iklätt sig ansvaret för alla svenska fysiska och juridiska personers rätt att okränkt få njuta skydd för sin äganderätt. När staten omsätter dessa åtaganden i lagstiftning – såsom offentlighets- och sekretess- lagstiftningen, säkerhetsskyddslagstiftningen och den straffrättsliga lagstiftningen – har staten inte fullgjort sin skyldighet om den inte gör allt i dess makt för att se till att skyddet den via lagstiftningen utsträcker blir verkningsfullt. Häri ingår att både förebygga, upp- täcka och beivra allt som kan kränka de rättigheter som skapats genom åtagandena. Det är för att på ett tydligt sätt visa hur staten axlar detta ansvar som betänkandet föreslår att regeringen och dess myndigheter vidtar åtgärder för att skapa större säkerhet kring den information och de system för dess överföring som staten har ett omedelbart inflytande över, och det är också därför utredningen föreslår att regeringen antar en strategi för informations- och cybersäkerhet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">55</P> </DIV> </DIV> <DIV id="page_56"> </DIV> <DIV id="page_57"> <P class="p4 ft7">4 Ökad digitalisering</P> <P class="p241 ft33"><SPAN class="ft33">4.1</SPAN><SPAN class="ft48">Ett ändrat synsätt på informationssäkerhet</SPAN></P> <P class="p54 ft8">Under <NOBR>1990-talet</NOBR> skedde en dramatisk förändring av internets utveckling. Ett tidigare mer isolerat system öppnades upp och antalet sammankopplingar, såväl nationellt som globalt, ökade. Den dramatiska förändringen påverkade också synsättet kring hante- ringen av informationssäkerheten då antalet aktörer och användare ökade. Fokus hamnade på säkerheten i nätverk och system där varje aktör skulle vara medveten om och ta ansvar för sina risker och sårbarheter liksom förebyggande åtgärder. Åtgärder som skapar säkerhet för helheten, i allas intresse, främjades. Tanken var att försöka bygga in säkerhet i en öppen och sammankopplad digital värld i stället för att utveckla riskhantering och sårbarhets- analyser, s.k. risk management. Detta senare synsätt utvecklades därefter och råder i dag.</P> <P class="p15 ft9">Den tekniska utvecklingen har medfört större bandbredd och snabbare överföring av information (kapacitet) i fasta och trådlös uppkoppling under de senaste <NOBR>15–20</NOBR> åren. Tillsammans med större nätverk samt ökad lagrings- och processkapacitet har nya produk- ter och tjänster kunnat utvecklas, bl.a. smarta telefoner, surf- och läsplattor, molntjänster m.m. Innovationer inom mjukvaruområdet har lett till nya affärsmöjligheter och modeller, t.ex. inom appar och genom insamling och bearbetning av stora datamängder, s.k. ”big data”. Sociala medier, den ökade digitala mobiliteten, möjlig- heten till geografisk lokalisering och annan digital utveckling har också lett till ekonomiska och sociala förändringar till nytta för alla sektorer inom ekonomin och samhället. Samhället har blivit allt mer beroende av den digitala utvecklingen. Kraven ökar på möjlig- heten att känna tillit till informationssystem och nätverk liksom på de aktörer och mellanhänder som hanterar dessa. Men, kraven ökar</P> <P class="p242 ft20">57</P> </DIV> <DIV id="page_58"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Ökad digitalisering</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p239 ft9">också på digitala tjänsters förmåga att motstå risker och sårbarheter och medarbetares förmåga att förstå och hantera dessa. Det handlar numera om säkerheten för ett större komplex, ett ekosystem. Synsättet har vidgats, från säkerhet i nät och system till att bli betydligt bredare. Vi har också gått från ett statiskt synsätt där det gäller att undvika risk (riskaversion) till dynamisk riskhantering.</P> <P class="p153 ft13">De övergripande målen i nya nationella informationssäkerhets- strategier utgår ifrån att stödja ekonomisk och social utveckling samt att skydda samhällets funktionalitet. Fokus på säkerhet kring informationssystem och nätverk är således en del men inte tillräckligt. Hoten och sårbarheterna i den digitala världen har ökat. Säkerheten i det digitala samhället är inte enbart en teknisk ange- lägenhet utan omfattar många fler aspekter. Vi har alla ett gemen- samt ansvar, utifrån roller, verksamhet och sammanhang, för att skydda den digitala miljön mot hot och angrepp som leder till skada och minskad tillit. Ett dynamiskt riskbaserat synsätt utgår från alla de risker som möter aktörerna i ett föränderligt digitalt samhälle vid realiseringen av ekonomiska och sociala ambitioner. Som utredningen påpekat i kapitel 3 bör staten förbättra arbetet med sin del av ansvaret för dessa frågor.</P> <P class="p243 ft33"><SPAN class="ft33">4.2</SPAN><SPAN class="ft48">En kontinuerlig teknisk utveckling</SPAN></P> <P class="p244 ft8">När samhället blir allt mer beroende av tekniska system måste dessa vara tillräckligt säkra. I det moderna samhället blir konse- kvenserna av driftavbrott i informationssystem större och mer oöverskådliga. När en aktör med många kunder drabbas av drift- störningar kan konsekvenserna bli kännbara och oväntade på många olika håll samtidigt.</P> <P class="p245 ft9">Utveckling av programvara och tjänster ställer höga krav på både beställarkompetens och säkerhetsmedvetande hos beställaren för att uppnå tillräcklig säkerhetsnivå. <NOBR>It-tjänster</NOBR> i moderna verk- samheter är ofta komplexa och utspridda både fysiskt och organisa- toriskt (outsourcing). Det får konsekvenser för säkerheten. Ris- kerna blir mer svårbedömda och svåröverskådliga.</P> <P class="p153 ft37">Mer och mer information om oss själva och om våra tekniska lösningar blir allmänt tillgänglig. Frågorna om privatlivet aktuali- seras alltmer när större mängd och fler typer av data blir tillgängliga</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">58</P> </DIV> </DIV> <DIV id="page_59"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td22"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td23"><P class="p16 ft36">Ökad digitalisering</P></TD> </TR> </TABLE> <P class="p66 ft8">i det moderna samhället. Den ökade delningen av information ger ökad osäkerhet om vem som äger data t.ex. vid lagring i moln- tjänster. Teknikutvecklingen gör teknikberoende författningar och regler kring elektroniskt informationsutbyte mellan myndigheter föråldrade, vilket försvårar både önskvärda systemintegrationer och skyddet för privatlivet.</P> <P class="p14 ft8">Det pågår en ständig kapplöpning mellan angripare och för- svarare. Förekomsten av programvara som identifierar sårbarheter samt enkla och billiga tekniska hjälpmedel för angrepp har sänkt tröskeln och satt verktyg i händerna på fler angripare. Utöver de tekniska sårbarheterna är människan i systemen en svag länk, som med enkla medel kan luras att ladda ner skadlig kod eller uppge känsliga uppgifter. Det är inte fråga om en verksamhet ska bli hackad, utan när.</P> <P class="p13 ft8">En väsentlig faktor är att säkerställa att utbildning kan matcha den snabba utveckling som kännetecknar området.</P> <P class="p243 ft33"><SPAN class="ft33">4.3</SPAN><SPAN class="ft48">Politiska mål för en digital tidsålder</SPAN></P> <P class="p54 ft8"><NOBR>It-politiken</NOBR> handlar om att använda och främja de möjligheter som digitaliseringen för med sig. Området omfattar bland annat regle- ring av it och elektronisk kommunikation, liksom nät- och in- formationssäkerhet, frekvenspolitik och frågor om internets styrning och förvaltning. I området ingår också frågor om tillgång till bredband och infrastruktur för it.</P> <P class="p15 ft8">Regeringen (och dess myndigheter) har tagit fram ett antal stra- tegier, agendor och handlingsplaner som avser den digitala utveck- lingen och berör informationssäkerhetsområdet. Närmast redogörs för några av dessa som bedöms mest relevanta.</P> <P class="p243 ft16"><SPAN class="ft16">4.3.1</SPAN><SPAN class="ft63">Digital agenda</SPAN></P> <P class="p210 ft9">Den 29 september 2011 beslutade den dåvarande regeringen om en ny strategi för <NOBR>it-politiken,</NOBR> <SPAN class="ft14">It i människans tjänst – en digital agenda för Sverige </SPAN>(dnr N2011/342/ITP), kallad den digitala agendan för Sverige. Den digitala agendan för Sverige är en bred och sammanhållen strategi för <NOBR>it-politiken</NOBR> där regeringen presenterar ambitioner och insatser som tar till vara de möjligheter som digitaliseringen ger. Målet för it-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">59</P> </DIV> </DIV> <DIV id="page_60"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Ökad digitalisering</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p194 ft13">politiken är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. I december 2011 beslutade riksdagen att tidigare <NOBR>it-politiska</NOBR> mål och delmål om tillväxt och kvalitet skulle upphävas och ersättas med det nya <NOBR>it-politiska</NOBR> målet (prop. 2011/12:1, utg.omr. 22, bet. 2011/12:TU1, rskr. 2011/12:87). När det gäller målen för tillgänglighet ska dessa fortsatt gälla (prop. 2009/10:193, bet. 2009/10:TU18, rskr. 2009/10:297).</P> <P class="p72 ft8">Den digitala agendan för Sverige pekar ut behov av insatser inom följande fyra strategiska områden, där användarens perspektiv är utgångspunkten:</P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Lätt och säkert att använda.</SPAN></P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Tjänster som skapar nytta.</SPAN></P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Det behövs infrastruktur.</SPAN></P> <P class="p246 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Informationsteknologins roll för samhällsutvecklingen.</SPAN></P> <P class="p63 ft16">Digitaliseringskommissionen</P> <P class="p155 ft13">Digitaliseringskommissionens uppdrag är att verka för att det it- politiska målet i den digitala agendan uppnås och att regeringens ambitioner inom området fullföljs. Detta ska ske med hänsyn till det huvudsakliga ansvar som respektive myndighet och departement inom Regeringskansliet har för att vidta och följa upp åtgärder kopplade till målet för <NOBR>it-politiken.</NOBR> Hela uppdraget är formulerat i kommitté- direktiven. Kommissionen har i huvuduppdrag att:</P> <P class="p213 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">utforma ett förslag till handlingsplan för genomförande av upp- draget att verka för det </SPAN><NOBR>it-politiska</NOBR> målet,</P> <P class="p247 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">analysera utvecklingen i förhållande till det </SPAN><NOBR>it-politiska</NOBR> målet,</P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">visa på digitaliseringens möjligheter,</SPAN></P> <P class="p246 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">kommunicera den digitala agendan och dess innehåll,</SPAN></P> <P class="p213 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">vara administrativt ansvarig för de s.k. signatärerna till den digitala agendan, och</SPAN></P> <P class="p247 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">samverka med olika aktörer i samhället för en ökad digitalisering.</SPAN></P> <P class="p248 ft10">Uppdraget ska slutredovisas senast den 31 december 2015.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">60</P> </DIV> </DIV> <DIV id="page_61"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td22"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td23"><P class="p16 ft36">Ökad digitalisering</P></TD> </TR> </TABLE> <P class="p249 ft16"><SPAN class="ft16">4.3.2</SPAN><NOBR><SPAN class="ft63">E-förvaltnings-strategi</SPAN></NOBR></P> <P class="p210 ft9">I december 2012 presenterade regeringen sin <NOBR>e-förvaltningsstrategi</NOBR> <SPAN class="ft14">Med medborgaren i centrum </SPAN>(dnr N2012/6402/ITP). Strategin för- tydligar och preciserar de mål och strategiska ställningstaganden som uttrycks i den förvaltningspolitiska propositionen (prop. 2009/10:175) och i den digitala agendan för Sverige. I <NOBR>e-förvalt-</NOBR> ningsstrategin beskrivs regeringens målsättningar för arbetet med att förstärka myndigheternas förmåga att samverka digitalt i för- valtningsgemensamma <NOBR>it-frågor.</NOBR> Ett delmål i <NOBR>e-förvaltningsstra-</NOBR> tegin är att statsförvaltningens informationssäkerhet ska förbättras.</P> <P class="p69 ft16"><NOBR>E-delegationen</NOBR></P> <P class="p132 ft8"><NOBR>E-delegationen</NOBR> har med anledning av sitt uppdrag från regeringen tagit fram en strategi för informationssäkerhet i <NOBR>e-förvaltning.</NOBR> De strategiska mål som anges är följande.</P> <P class="p187 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Den enskilde k</SPAN><SPAN class="ft75">ä</SPAN>nner tillit till att informationshantering i myn- digheters, landstings och kommuners <NOBR>e-tjänster</NOBR> sker på ett sådant sätt att personlig integritet förenas med hög tillgänglig- het, spårbarhet och riktighet.</P> <P class="p250 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">All informationshantering i </SPAN><NOBR>e-f<SPAN class="ft76">ö</SPAN>rvaltning</NOBR> sker med de s<SPAN class="ft76">ä</SPAN>kerhets- <SPAN class="ft76">å</SPAN>tg<SPAN class="ft76">ä</SPAN>rder som definieras utifrån risk- och sårbarhetsanalys samt informationsklassning.</P> <P class="p107 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">En god s</SPAN><SPAN class="ft76">ä</SPAN>kerhetskultur och gemensamt regelverk finns s<SPAN class="ft76">å </SPAN>att in- formation behandlas med samma krav på säkerhet oavsett vilken myndighet, vilket landsting eller vilken kommun som tillhanda- håller eller använder en <NOBR>e-tjänst.</NOBR></P> <P class="p251 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Tydlig ansvarsmodell för styrning och uppföljning av informa- tionssäkerhet inom </SPAN><NOBR>e-förvaltning</NOBR> är etablerad på nationell nivå.</P> <P class="p187 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Samh</SPAN><SPAN class="ft75">ä</SPAN>llsviktiga funktioner som st<SPAN class="ft75">ö</SPAN>ds av <NOBR>e-tj<SPAN class="ft75">ä</SPAN>nster</NOBR> uppr<SPAN class="ft75">ä</SPAN>tth<SPAN class="ft75">å</SPAN>lls även i krisläge. Detta förutsätter väl utvecklade metoder för kon- tinuitetsplanering.</P> <P class="p189 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Processer finns inom </SPAN><NOBR>e-f<SPAN class="ft75">ö</SPAN>rvaltningsarbetet</NOBR> f<SPAN class="ft75">ö</SPAN>r att skapa en nationell informationssäkerhetsrelaterad lägesbild.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">61</P> </DIV> </DIV> <DIV id="page_62"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Ökad digitalisering</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p122 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Informationss</SPAN><SPAN class="ft75">ä</SPAN>kerhet i enlighet med informationens krav p<SPAN class="ft75">å </SPAN>skyddsniv<SPAN class="ft75">å </SPAN>upprätthålls även då information kommuniceras till och från enskilda.</P> <P class="p252 ft8">Delegationen består av 16 generaldirektörer från de mest <NOBR>it-inten-</NOBR> siva myndigheterna och en representant för Sveriges Kommuner och Landsting, SKL. Ärenden förbereds i en arbetsgrupp med främst it- och verksamhetschefer från myndigheterna och disku- teras sedan i två olika delegationsutskott innan beslut fattas. I varje delegationsutskott ingår flera generaldirektörer.</P> <P class="p63 ft16"><NOBR>E-legitimationsnämnden</NOBR></P> <P class="p75 ft37"><NOBR>E-legitimationsnämndens</NOBR> uppgift är att stödja och samordna offentliga sektorns behov av säkra metoder för elektronisk identi- fiering och signering. Inom detta område finns en rad uppgifter som faller inom nämndens ansvar. <NOBR>E-legitimationsnämnden</NOBR> har den samordnande funktionen på området för <NOBR>e-legitimationer.</NOBR> <NOBR>E-legiti-</NOBR> mationsnämnden har också fattat ett inriktningsbeslut att jobba för att stödja även privat sektors användning av <NOBR>e-legitimationer,</NOBR> bl.a. genom att möjliggöra för registerhållning och upprättande av regler och avtal för privata aktörer. Nämnden har som uppgift att fungera som en svensk kontaktpunkt för internationell samverkan kring e- legitimationer och digital identifiering och signering, t.ex. vad gäller nationell teknisk standardisering. Det innebär också att delta i samverkan med EU:s organ på området.</P> <P class="p253 ft16"><SPAN class="ft16">4.3.3</SPAN><SPAN class="ft63">Bredbandsutbyggnad i Sverige</SPAN></P> <P class="p254 ft8">Det riksdagsbundna målet för tillgänglighet på <NOBR>it-området</NOBR> är att Sverige ska ha bredband i världsklass. Alla hushåll och företag bör ha goda möjligheter att använda sig av elektroniska samhällstjänster och service via bredband (prop. 2009/10:193).</P> <P class="p208 ft37">Enligt målen i <SPAN class="ft62">Bredbandsstrategi för Sverige </SPAN>(dnr N2009/8317/ITP) bör 90 procent av alla hushåll och företag ha tillgång till bredband om minst 100 Mbit/s 2020. Det är marknaden som står för utbyggnaden, men i områden där marknaden inte ser det vara lönsamt att bygga ut finns det behov av riktade insatser som sker med hjälp av stöd.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">62</P> </DIV> </DIV> <DIV id="page_63"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td22"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td23"><P class="p16 ft36">Ökad digitalisering</P></TD> </TR> </TABLE> <P class="p255 ft13">Enligt Post- och telestyrelsens (PTS) bredbandskartläggning för 2013 hade 57 procent av alla hushåll och företag tillgång till 100 Mbit/s. Fördelningen skiljer sig dock inom och utanför tätort och småort. Enligt samma kartläggning har 99 procent av alla fasta hushåll och företag tillgång till mobilt bredband via LTE (4G).</P> <P class="p69 ft16">Bredbandsforum</P> <P class="p256 ft13">Bredbandsforum är en viktig del av nämnd strategi. Forumet främjar samverkan kring bredbandsutbyggnad. Företag, myndig- heter och organisationer möts i Bredbandsforum för att tillsam- mans hitta lösningar som ökar tillgången till bredband i hela landet.</P> <P class="p257 ft38">Bredbandsforum leds av en styrgrupp med ansvarig minister som ordförande. Bredbandsforums löpande verksamhet drivs av ett kansli som är placerat vid PTS och mandatet gäller t.o.m. 2015.</P> <P class="p258 ft16"><SPAN class="ft16">4.3.4</SPAN><SPAN class="ft63">Nationell eHälsa – strategin för tillgänglig och säker information inom vård och omsorg</SPAN></P> <P class="p132 ft8"><NOBR>E-hälsa</NOBR> är det sammantagna begreppet för digitala tjänster som stödjer utvecklingen inom vården och omsorgen. När informa- tionen är enhetlig och strukturerad på ett bra sätt går det lättare att dela den och att jämföra och följa upp vårdinsatser.</P> <P class="p257 ft13">Sedan 2010 finns en nationell strategi för <NOBR>e-hälsa</NOBR> som leds av regeringen i samarbete med Socialstyrelsen, Sveriges Kommuner och Landsting, Vårdföretagarna, Famna (Riksorganisationen för vård och omsorg) och <NOBR>E-hälsomyndigheten.</NOBR> För att <NOBR>e-hälsotjänster</NOBR> ska bli effektiva verktyg i syfte att utveckla och effektivisera vården och omsorgen måste det finnas en samsyn och samordning mellan olika aktörer, och den nationella <NOBR>e-hälsostrategin</NOBR> är ett uttryck för denna samsyn mellan de centrala aktörerna på nationell nivå.</P> <P class="p15 ft9">För att hålla samman genomförandet av strategin finns en högnivågrupp där stat, huvudmän och utförare av vård och omsorg finns representerade. Högnivågruppen fokuserar på strategiska frågeställningar och vägval med koppling till den nationella <NOBR>e-hälso-</NOBR> strategin och fungerar som ett organ för gemensamt ställnings- tagande för inriktningen av det fortsatta arbetet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">63</P> </DIV> </DIV> <DIV id="page_64"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Ökad digitalisering</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p211 ft8">I detta sammanhang kan nämnas <NOBR>E-hälsokommitténs</NOBR> utred- ningsuppdrag (dir. 2013:125) att se över ändamålsenlighet och ansvarsfördelning när det gäller tillhandahållande och utformning av <NOBR>it-stöd</NOBR> för personal, vård- och omsorgsgivare och andra aktörer inom hälso- och sjukvård och socialtjänsten. Uppdraget ska slutredovisas i ett betänkande senast den 27 mars 2015.</P> <P class="p126 ft33"><SPAN class="ft33">4.4</SPAN><SPAN class="ft48">Hot och risker i en digitaliserad värld</SPAN></P> <P class="p64 ft13">Utvecklingen inom informations- och kommunikationsteknik området har skapat nya möjligheter för både medborgare, näringsliv och offentlig sektor. Tillgång till information, oavsett var man befinner sig och oavsett tid på dygnet, har ökat markant under senare år och har bidragit till ökad effektivitet och nytta inom många områden. Myntets baksida är dock att den förändrade kom- munikationsinfrastrukturen och sammankopplingen av informa- tionssystem medfört nya och förändrade typer av hot och risker.</P> <P class="p259 ft8">Genom informationssystemens ömsesidiga beroenden och deras ökade funktionalitet har det även introducerats sårbarheter och öppnats för hot som delvis inte funnits tidigare. Informa- tionssystemens komplexitet innehåller sårbarheter bl.a. genom att de kan vara svåra att underhålla i den takt som krävs och som till- sammans med brister eller sårbarheter i kommunikationsinfra- strukturen kan skapa möjlighet för obehöriga att få åtkomst till informationssystemen. Olika verksamheters beroende av <NOBR>it-system</NOBR> innebär även att de blir sårbara för handhavandefel, tekniska fel och olyckor.</P> <P class="p110 ft8">Många av samhällets tjänster bygger på och är beroende av in- formations- och kommunikationsteknik vilket bl.a. innebär att det inte längre är frivilligt för medborgarna om man vill använda tekniken eller inte. Det är snarare ett krav. För myndigheter och näringsliv är beroendet av tekniken ofta så stort att verksamheten riskerar att allvarligt störas eller stoppas om tillgång till vissa stöd- system saknas.</P> <P class="p103 ft38">I princip alla, både privatpersoner, näringsliv och offentlig verk- samhet, som är anslutna mot internet tar en risk och är i dagsläget utsatta för risker eftersom det ständigt pågår angreppsförsök mot internetanslutna system. Denna typ av massangrepp är ofta mer</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">64</P> </DIV> </DIV> <DIV id="page_65"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td22"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td23"><P class="p16 ft36">Ökad digitalisering</P></TD> </TR> </TABLE> <P class="p260 ft13">eller mindre slumpartade. Exempel på detta är den stora ökningen av bedrägerier och identitetsstölder som sker via internet mot i första hand privatpersoner. Andra typer av elektroniska angrepp är riktade mot viss verksamhet eller kategori av användare och kan vara av olika allvarlighetsgrad. En förändring är att system för industriella informations- och styrsystem, så kallade SCADA system (supervisory control and data acquisition), tidigare var leverantörsunika system som var isolerade från omvärlden. Dessa system blir alltmer indirekt eller direkt anslutna mot globala nät- verk vilket innebär att de kan bli utsatta för angrepp, se avsnitt 4.4.3. Här har sektorsansvariga myndigheter en viktig roll att fylla när det gäller statens möjlighet att påverka informationssäkerhets- arbetet inom respektive sektor.</P> <P class="p153 ft8">Organisatoriska frågor påverkar också utvecklingen inom informationssäkerhetsområdet. Tidigare tog varje verksamhet själv hand om sina system för exempelvis löner, lagerhållning och faktu- rering. Numera lägger allt fler ut sådana funktioner på externa leve- rantörer. Samtidigt innebär utvecklingen med outsourcing också en koncentration av <NOBR>it-hanteringen</NOBR> som medför att konsekvenserna av såväl attacker som <NOBR>icke-antagonistiska</NOBR> driftavbrott blir svåröver- skådliga.</P> <P class="p245 ft8">Att skydda sig mot <NOBR>it-incidenter</NOBR> är svårt. Den som ansvarar för ett <NOBR>it-system</NOBR> måste, trots att en stor mängd attacker kan avvärjas, utgå från att angrepp faktiskt lyckas. För att en angripare ska få ett fotfäste i ett nätverk som inte är ordentligt konfigurerat, krävs inte mer än att en användare öppnar en olämplig <NOBR>e-postbilaga</NOBR> eller webblänk. Därefter kan angriparen ta sig vidare i nätverket och etablera sig långvarigt.</P> <P class="p148 ft37">Försvarsberedningen gör i promemorian <SPAN class="ft62">Vägval i en globaliaserad värld </SPAN>(Ds 2013:33 s. <NOBR>36–37)</NOBR> bedömningen att sårbarheterna som uppstår i dagens globala <NOBR>it-system</NOBR> utgör en av våra mest komplexa frågor. I promemorian utvecklas hoten och riskerna enligt följande.</P> <P class="p261 ft3">Internet används för både civila och militära ändamål. Handel, teknik- överföring, nätsäkerhet, samhällsviktig verksamhet och olika former av <NOBR>it-brottslighet</NOBR> har kopplingar till säkerhets- och försvarspolitiska överväganden. Samtidigt riskerar vissa staters ökade krav på säkerhets- åtgärder i den digitala världen att leda till inskränkningar av mänskliga rättigheter och minskade informationsflöden, med stora politiska, sociala och ekonomiska konsekvenser som följd. Hot- och riskskalan inom dagens informationsteknologi spänner från mindre omfattande</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">65</P> </DIV> </DIV> <DIV id="page_66"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Ökad digitalisering</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p262 ft3">risker för den enskilde medborgaren, till väl planerade och med pre- cision riktade s.k. cyberattacker mot vitala delar i samhällets funk- tionalitet. En <NOBR>it-incident</NOBR> är inte nödvändigtvis en antagonistisk vilje- yttring. Mer vanligt är olika former av driftrelaterade problem. En it- incident skulle dock kunna påverka funktionaliteten i ett samhälle utan att en stats suveränitet utmanas. Mer allvarliga intrång i samhällsviktig verksamhet och kritisk infrastruktur är de som syftar till att störa funktionaliteten, förändra, stjäla, eller manipulera information eller helt ta över ett informationssystem. En växande sårbarhet är samman- kopplingen via internet mellan olika typer av industriella styr- och kontrollsystem. Olika typer av störningar eller antagonistiska hot där styr- och kontrollsystem tas över av tredje part kan potentiellt hota både ett lands samhällsviktiga funktioner och ytterst dess suveränitet.</P> <P class="p263 ft9">Utredningens bild av situationen inom informations- och cybersäker- hetsområdet överensstämmer med Försvarsberedningens beskrivning och vi anser att det är viktigt att ha en sådan helhetssyn när frågor om informationssäkerhet behandlas. Rapporten <SPAN class="ft14">Informationssäkerhet – trender 2015 </SPAN>utgör tillsammans med den bild som förmedlats av utredningens referensgrupp det huvudsakliga underlaget för vår redogörelse. I nämnd rapport lämnar Myndigheten för samhällsskydd och beredskap (MSB) tillsammans med Försvarets radioanstalt, Polis- myndigheten och Försvarsmakten en samlad bild av situationen på in- formations- och cybersäkerhetsområdet. De deltagande myndig- heterna har identifierat sju trender dvs. stabila, långsiktiga förändringar på informationssäkerhetsområdet som bedöms påverka samhället i någon form. Inom vart och ett av områdena har tre huvudpunkter tagits upp vilka tillsammans ger en övergripande bild av situationen. Följande trendområden anges:</P> <P class="p264 ft8"><SPAN class="ft12">1.</SPAN><SPAN class="ft77">Strategiska beslut om informationssäkerhet tas alltid i en kon- text där säkerhet vägs mot andra värden.</SPAN></P> <P class="p265 ft8"><SPAN class="ft12">2.</SPAN><NOBR><SPAN class="ft77">It-tjänster</SPAN></NOBR> i moderna verksamheter är ofta komplexa och ut- spridda både fysiskt och organisatoriskt.</P> <P class="p265 ft8"><SPAN class="ft12">3.</SPAN><SPAN class="ft77">Allt mer information om oss själva och om våra tekniska lös- ningar blir allmänt tillgänglig.</SPAN></P> <P class="p265 ft8"><SPAN class="ft12">4.</SPAN><SPAN class="ft77">Informationssäkerhet har på senare år fått en växande säkerhets- politisk dimension.</SPAN></P> <P class="p264 ft10"><SPAN class="ft12">5.</SPAN><SPAN class="ft78">I det moderna samhället har så gott som all brottslighet en it- koppling.</SPAN></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">66</P> </DIV> </DIV> <DIV id="page_67"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td22"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td23"><P class="p16 ft36">Ökad digitalisering</P></TD> </TR> </TABLE> <P class="p266 ft10"><SPAN class="ft12">6.</SPAN><SPAN class="ft79">Det sker en ständig kapplöpning mellan angripare och för- svarare.</SPAN></P> <P class="p189 ft10"><SPAN class="ft12">7.</SPAN><SPAN class="ft79">När samhället blir allt mer beroende av tekniska system måste dessa vara robusta.</SPAN></P> <P class="p267 ft8">Närmast utvecklas beskrivningen av den informationsrelaterade hotbilden. Beskrivningen tar upp hotens karaktär och ursprung samt dess möjliga konsekvenser för informationssäkerheten.</P> <P class="p119 ft16"><SPAN class="ft16">4.4.1</SPAN><NOBR><SPAN class="ft63">Icke-antagonistiska</SPAN></NOBR> hot</P> <P class="p90 ft8">Många <NOBR>it-incidenter</NOBR> och störningar i informationssystem har icke- antagonistiska orsaker. En inte ovanlig anledning till sådana it- incidenter är fel i programvara eller hårdvara. Störningar i stöd- system som t.ex. elförsörjning och kommunikation genom väder- förhållanden och avgrävda kablar är också välkända orsaker till it- incidenter.</P> <P class="p14 ft8">PTS tar årligen fram en risk- och sårbarhetsanalys (RSA) för sektorn elektronisk kommunikation. Analysen innehåller bedöm- ningar av hot som kan påverka elektroniska kommunikationer och de samhälleliga konsekvenserna av sådana hot. I RSA:n behandlas fem kategorier av hot:</P> <P class="p58 ft8">För <SPAN class="ft35">det första </SPAN>handlar det om tekniska fel och brister och bland dessa omnämns sex olika situationer: bortfall av tillgångar orsakade av hårdvarufel, kortvarig störning i elförsörjning med efterföljande fel i befintlig reservkraftsförsörjning, fel i programvara som styr tillgångar, oavsiktliga överbelastningar av tillgångar och förbindel- ser, överbelastning av mobila kommunikationsnät och förlust av förmåga att övervaka och styra informationstillgångar och nät- funktioner.</P> <P class="p257 ft13">För <SPAN class="ft34">det andra </SPAN>nämns naturligt förekommande hot, såsom klimatologiska fenomen, seismiska fenomen, vulkaniska fenomen, stormar, isstormar, snöstormar, värmeböljor och översvämning.</P> <P class="p13 ft8"><SPAN class="ft35">Den tredje </SPAN>hotkategorin utgörs av fysiska skador, med vilket menas vattenskador, damm, korrosion, förfrysning, avgrävning av förbindelser, föroreningar och andra händelser som förhindrar åtkomst till tillgångar.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">67</P> </DIV> </DIV> <DIV id="page_68"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Ökad digitalisering</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p268 ft8"><SPAN class="ft35">Den fjärde </SPAN>formen av <NOBR>icke-antagonistiska</NOBR> hot handlar om olika former av fel eller brister i kritiska resurser och funktioner. Följande exempel tas upp: avbrott i elförsörjningen längre än befintliga reservkraftsystem, otillgänglighet av personal, manuell frånkoppling i elbristsituationer, förlust av luftkonditionering eller kylning, fel i användning av tillgångar, brister eller fel i funktioner för felavhjälpning, brister i förebyggande arbete, bristfälliga rutiner vid uppgradering av mjukvara och förekomst av brister i lednings- funktioner.</P> <P class="p223 ft8"><SPAN class="ft35">Den femte </SPAN>kategorin utgörs av elektromagnetiska och termiska hot i form av åska, rymdväder och termisk strålning.</P> <P class="p223 ft8">PTS har konstaterat att de hot som 2012 gav upphov till flest antal allvarliga störningar var av <NOBR>icke-antagonistisk</NOBR> art, nämligen fel vid uppgradering av programvara, elavbrott, avgrävning av kabel, hårdvarufel och överbelastning.</P> <P class="p238 ft9">Av de riskbedömningar som PTS redovisar i risk- och sårbar- hetsanalysen för 2012 följer att fel vid uppgradering av programvara kan anses vara en betydande risk då sådana fel kan leda till avbrott på nationell nivå. Ytterligare exempel på hot som PTS ser som allvarliga är elavbrott, stormar och andra väderfenomen som leder till omfattande elavbrott samt tillhörande problem i återställningsarbete. Hårdvarufel och överbelastningar av tekniska system är andra exempel på hot som bedöms kunna få negativ samhällelig påverkan.</P> <P class="p201 ft37">Vårt ökade beroende av fungerande teknik medför att konsekvenserna av driftavbrott blir allt större och mer oöverskådliga. <NOBR>Tieto-haveriet</NOBR> i slutet av 2011 förblir ett exempel på hur centraliserad drift under olyckliga omständigheter plötsligt leder till oväntade och svårförutsägbara problem för stora och till synes orelaterade delar av samhället. Ovan refererad trendrapport från MSB m.fl. myndigheter påpekar att det är lätt att underskatta <NOBR>icke-antagonistiska</NOBR> hot som beror på våra egna tillkortakommanden såsom kortsiktighet eller slarv. Det anges att buggar i program- och hårdvara, kvalitetsbrister i programvaruutveckling och avsaknad av eller slarv i rutiner vid mjukvaruuppdateringar kan skapa stora problem. Vidare påtalas att ett problem med att ägna för lite uppmärksamhet åt vanliga driftavbrott är att det dessutom kan öppna för antagonistiska angrepp. I rapporten ges som exempel att en kvalificerad motståndare som vill angripa ett ledningssystem kan tänkas maskera sina angrepp som oregelbundet återkommande driftavbrott.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">68</P> </DIV> </DIV> <DIV id="page_69"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td22"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td23"><P class="p16 ft36">Ökad digitalisering</P></TD> </TR> </TABLE> <P class="p249 ft16"><SPAN class="ft16">4.4.2</SPAN><SPAN class="ft63">Antagonistiska hot</SPAN></P> <P class="p210 ft8">När det gäller antagonistiska hot och förutsättningarna att verk- ställa dessa så har det skett stora förändringar. Tidigare, då många verksamheter byggde på manuell hantering och mer eller mindre isolerade <NOBR>it-system,</NOBR> var en antagonist tvungen att exponera sig i något läge av ett angrepp mot en verksamhet och dess information. Angrepp på distans var omöjligt eller mycket ovanligt. I dag är de flesta verksamheter direkt eller indirekt anslutna till internet eller andra globala nätverk vilket kan möjliggöra för en antagonist att angripa en verksamhet utan någon fysisk närvaro eller exponering. En försvårande faktor är att angreppen i princip kan utföras från vilken plats som helst i världen vilket tillsammans med anonymise- ringstjänster och jurisdiktionsfrågor gör det svårt att spåra och lagföra en angripare. Denna ”anonymitet”, verklig eller upplevd, gör sannolikt att vissa aktörer som aldrig skulle utföra ett rent fysiskt angrepp mot en verksamhet inte drar sig för att genomföra ett elektroniskt angrepp. Statsunderstödd olovlig underrättelse- inhämtning har också i och med detta fått en ny arena att operera från.</P> <P class="p58 ft8">När det handlar om de mest kvalificerade hoten rör det sig huvudsakligen om angrepp från stater och statsunderstödda aktö- rer. Dessa är målinriktade och uthålliga och har stora resurser och hög kompetens. Syften för de statsunderstödda aktörerna är poli- tiska, militära och industrispionage. Andra allvarliga syften kan dock inte uteslutas. Det kan röra sig om förberedelser för att kunna skada svensk kritisk infrastruktur i ett framtida scenario. Det kan handla om politisk utpressning eller ske i samband med militär konflikt.</P> <P class="p14 ft8">Det politiska spionaget påverkar vår förmåga att bedriva en självständig <NOBR>försvars-,</NOBR> säkerhets- och utrikespolitik. Industri- spionaget leder till att svensk kunskap och innovation stjäls samt att svenska företag inte kan konkurrera på lika villkor vid exem- pelvis upphandlingar.</P> <P class="p269 ft8">Hotutövare finns på alla nivåer. Det kan vara allt från personer som utan egentligt brottsligt uppsåt testar sina kunskaper genom att olovligen försöka ta sig in i informationssystem, till stats- understödd olovlig underrättelseinhämtning. Det kan även förekomma kombinationer av dessa. Ytterligare en dimension av</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">69</P> </DIV> </DIV> <DIV id="page_70"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Ökad digitalisering</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p178 ft9">antagonistiska hot är då angrepp mot informationssystem sker som ett led i en militär operation för att störa ut och påverka lednings- system eller andra system för att vinna militärtaktiska fördelar.</P> <P class="p270 ft9">Spektrumet av aktörer är således brett och omfattar inte enbart stater och säkerhetstjänster med stora resurser utan även enskilda, fristående hackargrupperingar, <NOBR>religiöst-nationellt-etniskt-ideolo-</NOBR> giskt drivna aktivister till kriminella organisationer. Till detta till- kommer cyberspionage och grupperingar som tar betalt för att utföra skadlig verksamhet på nätet.</P> <P class="p271 ft8">Programvara särskilt utvecklad för <NOBR>it-angrepp</NOBR> av olika slag blir allt lättare att få tag på. Att genomföra ett angrepp kräver i och med detta inte längre någon stor kompetens och tröskeln för angrepp sänks. Det finns en relativt osofistikerad kategori aktörer, vars ageranden ofta är enkla att spåra på internet. Det är personer som har laddat ned information och programvara från nätet om hur man kan gå till väga för att kompromettera konton och filer eller att initiera attacker mot datorsystem. Deras metoder går ut på att skanna av nätet och försöka finna sårbarheter varhelst de uppstår och därefter utnyttja dessa.</P> <P class="p272 ft9">Andra angrepp utgår från ett ideologiskt eller politiskt betingat motiv och tar sig uttryck i överbelastningsattacker (DDos), lösen- ordsstöld, intrång i system och manipulering av hemsidor (Web Defacement). Detta kan vara ett störande inslag mot informations- system men kan i dagsläget inte sägas utgöra ett samhällsfarligt hot såtillvida de inte lierar sig med andra aktörer med andra syften.</P> <P class="p270 ft13">Det förekommer också att en tredje part används som ombud. Det kan vara enskilda hackare eller grupper av sådana med mycket god kompetens. Bakom sådana aktörer kan främmande säkerhets- tjänster stå. Poängen med att använda en tredje part är att såväl anstiftare som motiv och intention bakom en operation kan hållas dolda. Förfarandet är intressant även för enskilda individer och företag som via ombud exempelvis kan stjäla känslig och samhälls- viktig information. Det är också möjligt att misskreditera specifika organisationer och personer genom att plantera illvilliga uppgifter riktat mot dessa.</P> <P class="p272 ft8">Ett antagonistiskt hot som ofta förbises är det s.k. ”insider- hotet” som innebär att någon som deltar i verksamhetens bedri- vande eller av annan anledning har behörighet till verksamhetens</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">70</P> </DIV> </DIV> <DIV id="page_71"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td22"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td23"><P class="p16 ft36">Ökad digitalisering</P></TD> </TR> </TABLE> <P class="p203 ft10">lokaler eller informationstillgångar missbrukar detta. Insiders är således inte bara de som är anställda i verksamheten.</P> <P class="p233 ft37">I dag har ofta brottslighet en <NOBR>it-koppling.</NOBR> Mest uppenbart är det naturligtvis för brott som till sin natur kräver modern teknik, som datorbedrägeri och dataintrång. Men det moderna samhällets kom- munikationsvägar är sådana att även brott som häleri, bidragsfusk, kreditkortsbedrägerier och bluffakturor nästan per definition har stora elektroniska inslag. Ofta handlar det alltså om gamla brott i ny skepnad. Kriminellas aktiviteter riktas mot individer, organisa- tioner och finansiella institutioner. Internet har skapat en brotts- arena vars gränser inte sätts av vare sig geografi, nationell härkomst eller nationella lagar. Det förekommer bl.a. en kriminell internet- baserad tjänstesektor, <NOBR>”crime-as-a-service”.</NOBR> Ett exempel är webb- hotell som ger kriminella personer säkerhet, driftsäkerhet och anonymitet. Ett annat exempel på <NOBR>it-brottslighet</NOBR> är användande av skadlig kod som installeras på offrets dator som sedan gör det möjligt för gärningsmannen att kryptera datorn alternativt delar av materialet i datorn. Gärningsmannen kräver sen målsäganden på pengar för att denne ska återfå kontrollen över datorn alternativt det material som har krypterats. Ett annat brott som har vuxit på senare år är identitetstölder. När en identitet har kapats kan förövaren snabbt ta lån och handla varor på internet.</P> <P class="p148 ft8">Utredningen utgår från att i stort sett alla terroriströrelser – oavsett situation, geografisk plats och motiv – använder internet för att söka information, koordinera resurser och genomföra operationer av diverse slag. Denna typ av antagonister drar fördel av samhällets stora beroende av <NOBR>it-system.</NOBR> Olika slag av inbyggda sårbarheter i systemen utgör lockande mål för attacker. Internet utgör dock inte ett mål i sig självt, däremot kan kontroll och led- ningsfunktioner i viktig infrastruktur, de så kallade systemen för industriella informations- och styrsystem, vara målobjekt om de har direkt eller indirekt koppling mot internet. I tider av kris och konflikt mellan länder utgör angrepp mot kritiska informations- infrastrukturer det kanske allvarligaste hotet då effekter för samhället av kvalificerade angrepp blir avsevärda. Risken finns att stora delar av samhället skulle kunna lamslås.</P> <P class="p204 ft13">För att skydda eller angripa såväl samhällsviktiga system som militära och säkerhetsmässiga strukturer inrättar många högtekno- logiska nationer särskilda informationskrigsförband. Sådana en-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">71</P> </DIV> </DIV> <DIV id="page_72"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Ökad digitalisering</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p273 ft9">heter hanterar hela spektrumet av operationer på internet och i de globala nätverken för verkan och skydd. Verksamheten omfattar aktiva skyddsåtgärder såsom hantering av incidenter i egna system, avlyssning av information respektive störning och förstöring av motståndares informations- och kommunikationssystem liksom vilseledning och psykologisk påverkan.</P> <P class="p274 ft16"><SPAN class="ft16">4.4.3</SPAN><SPAN class="ft63">Särskilt om hot mot industriella informations- och styrsystem m.m.</SPAN></P> <P class="p275 ft9">Samhällsviktig verksamhet som t.ex. att producera och distribuera elektricitet, att leverera rent dricksvatten till kranen, att framställa for- donsbränsle och att styra kollektivtrafiken är några exempel på verksamheter som blivit beroende av att datorer fungerar. Tidigare nämnda industriella informations- och styrsystem används inom dessa verksamheter. Regeringen angav i propositionen <SPAN class="ft14">Samhällets säkerhet och beredskap </SPAN>(prop. 2001/02:158 s. 104) att det är angeläget att samhällsviktiga system har en hög säkerhetsnivå och att insatserna för informationssäkerheten ökas. I den digitala agendan <SPAN class="ft14">It i människans tjänst – en digital agenda för Sverige </SPAN>(s. 40) nämnder regeringen också behovet av att arbeta vidare med säkerheten i informations- och styrsystem i samhällsviktig verksamhet.</P> <P class="p276 ft13">När det gäller industriella informations- och styrsystem så kan information bestå av styrsignaler som reglerar spänningsnivåer i stora transformatorstationer, eller datorer som skickar instruktioner till dammluckor. Felaktiga eller uteblivna signaler kan i värsta fall leda till dödsfall eller fysisk förstörelse. Till skillnad från information som hanteras på kontor och som bearbetas av människor så arbetar de industriella informations- och styrsystemen ofta autonomt. En operatör talar om för systemet vad det ska uppnå, men systemet får sedan, med hjälp av avancerad matematik, räkna ut exakt hur detta ska realiseras. Styrsystemen förväntas ofta vara i drift dygnet runt under årets alla dagar utan avbrott.</P> <P class="p232 ft13">Myndigheten för samhällsskydd och beredskap tog 2013 fram dokumentet <SPAN class="ft34">Handlingsplan för samhällsviktig verksamhet. </SPAN>I handlingsplanen pekas elva sektorer ut som särskilt viktiga. Fyra av dessa elva sektorer är mycket beroende av industriella informa- tions- och styrsystem. Dessa sektorer är energiförsörjning (exem- pelvis produktion och distribution av elektricitet, fjärrvärme och</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">72</P> </DIV> </DIV> <DIV id="page_73"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td22"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td23"><P class="p16 ft36">Ökad digitalisering</P></TD> </TR> </TABLE> <P class="p145 ft8">bränslen samt hantering av avfall), handel och industri (exempelvis produktion av farliga ämnen), kommunalteknisk försörjning (exempelvis vatten- och avloppsproduktion) samt transporter (exempelvis spårbunden trafik, vägtrafik, sjöfart och hamnar, flygtrafik och flygledning, kollektivtrafik). Även handlingsplanen för samhällets informationssäkerhet lyfter fram industriella in- formations- och styrsystem som ett centralt område att höja in- formationssäkerheten inom (se avsnitt 7.3.2)</P> <P class="p148 ft8">Störningar i någon av nämnda verksamheter kan leda till stora påfrestningar i samhället. I och med att dessa verksamheter har ett starkt inbyggt beroende av industriella informations- och styr- system som ofta saknar tillräckligt <NOBR>it-skydd</NOBR> är detta allvarligt. Det är också viktigt att tänka på att störningar i en samhällssektor ofta påverkar andra delar av samhället. Om en region till exempel blir utan elektricitet leder det i förlängningen till att dricksvattenför- sörjning och transporter påverkas.</P> <P class="p277 ft13">Industriella informations- och styrsystem återfinns också i system utanför nämnda fyra samhällssektorer. Fastighetsautoma- tion är ett exempel på tillämpningar som på senare år har utsatts för angrepp. Exempelvis har angripare kunnat stänga av värmen i fastigheter som haft sina system åtkomliga från internet. Även om den typen av attacker kan tyckas harmlösa är det allvarligt att styr- system är så lättåtkomliga. Dessutom kan störningar i fastighets- automation få sekundära effekter – genom att till exempel stänga av kylan i en serverhall kan tillgången till viktig information försvåras eftersom en server behöver kyla för att fungera. På samma sätt är det möjligt att komma åt larm- och övervakningssystem om dessa inte är ordentligt skyddade.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">73</P> </DIV> </DIV> <DIV id="page_74"> </DIV> <DIV id="page_75"> <P class="p4 ft7">5 Regleringen</P> <P class="p241 ft33"><SPAN class="ft33">5.1</SPAN><SPAN class="ft48">Inledning</SPAN></P> <P class="p192 ft9">Det finns en mängd författningar som berör informationssäker- hetsfrågorna och som syftar till att bereda skydd för viss typ av information eller att ge anvisningar om hur arbetet med informa- tionssäkerhet ska bedrivas. Vissa av dessa författningar har bäring på myndigheters hantering av information, såsom offentlighets- och sekretesslagen, personuppgiftslagen, registerlagstiftningen och säkerhetsskyddslagen. Andra regelverk ställer krav på åtgärder av betydelse för informationssäkerhetsarbetet. Det finns även regle- ring kring informationssäkerhet som förbjuder viss typ av hand- ling, exempelvis bestämmelser om dataintrång i brottsbalken. Värt att nämna i sammanhanget är även de standarder som är centrala för informationssäkerhetsarbetet. De anger krav och riktlinjer som är användbara för alla typer av organisationer.</P> <P class="p14 ft8">Vi har identifierat ett antal rättsregler som direkt eller indirekt uppställer krav som berör informationssäkerhet och informations- säkerhetsarbete. Närmast presenteras ett urval av sådana författ- ningar och föreskrifter som bedöms vara av särskilt intresse för utredningen.</P> <P class="p243 ft33"><SPAN class="ft33">5.2</SPAN><SPAN class="ft48">Övergripande reglering</SPAN></P> <P class="p278 ft16"><SPAN class="ft16">5.2.1</SPAN><SPAN class="ft63">Tryckfrihetsförordningen</SPAN></P> <P class="p279 ft10">De grundläggande bestämmelserna om offentlighet och tryckfrihet finns i tryckfrihetsförordningen (TF).</P> <P class="p164 ft38">I 2 kap. § 1 TF anges att till främjande av ett fritt meningsutbyte och en allsidig upplysning ska varje svensk medborgare ha rätt att ta del av allmänna handlingar. Där denna rätt kolliderar med mot-</P> <P class="p280 ft20">75</P> </DIV> <DIV id="page_76"> <DIV id="id_1"> <P class="p281 ft21">SOU 2015:23</P> <P class="p145 ft13">stående intressen finns möjlighet enligt kapitlets andra paragraf att göra vissa inskränkningar i rätten. Paragrafen anger som mot- stående intressen som kan motivera en begränsning av allmän- hetens rätt att ta del av allmänna handlingar: rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation, rikets centrala finanspolitik, penningpolitik eller valutapolitik, myndighets verksamhet för inspektion, kontroll eller annan tillsyn, intresset att förebygga eller beivra brott, det allmännas ekonomiska intresse, skyddet för enskilds personliga eller ekonomiska för- hållanden, intresset att bevara djur- eller växtart. Begränsning av handlingsoffentligheten ska anges i särskild lag och måste finna stöd i någon av nämnda punkter. Regelverket ger med andra ord en uttrycklig ram för både krav på tillgänglighet och konfidentialitet rörande allmänna handlingar. Därtill innebär TF:s regler i förläng- ningen även krav på riktighet och spårbarhet hos informationen. Bristande informationssäkerhet som leder till att myndigheternas information förvanskas hindrar allmänhetens faktiska möjlighet att ta del av allmänna handlingar.</P> <P class="p243 ft16"><SPAN class="ft16">5.2.2</SPAN><SPAN class="ft63">Offentlighets- och sekretesslagen</SPAN></P> <P class="p96 ft8">Offentlighets- och sekretesslagen (2009:400) (OSL) innehåller bestämmelser om hantering av allmänna handlingar samt vilka uppgifter som får sekretessbeläggas. Det är inte bara de uttryckliga kraven på sekretess, det vill säga konfidentialitetskrav, som är av intresse. Även reglerna om god offentlighetsstruktur – det vill säga möjligheten att hålla offentliga handlingar tillgängliga är av bety- delse ur ett informationssäkerhetsperspektiv.</P> <P class="p282 ft8">Kapitel 15 reglerar sekretess med hänsyn till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer. I 1 § regleras utrikessekretessen. Vidare finns två nyligen införda bestämmelser om sekretess i det internationella samarbetet, 1 a § och utrikessekretess vid direktåtkomst, 1 b §. I 2 § regleras försvarssekretessen. Föremålet för försvars- sekretessen är uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret. Det omfattar därmed mer än enbart uppgifter som rör det militära försvaret. För att undvika ett</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">76</P> </DIV> </DIV> <DIV id="page_77"> <DIV id="id_1"> <P class="p4 ft21">SOU 2015:23</P> <P class="p283 ft9">onödigt hemlighållande av uppgifter som rör de många verk- samhetsområden och företeelser som försvarssekretessen omfattar har bestämmelsen utformats med ett rakt skaderekvisit. Samhällets åtgärder för landets försvar ska således inte undandras offentlighet annat än då det verkligen är påkallat. Sekretessen gäller därför bara om det kan antas att ett röjande av uppgifter skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet.</P> <P class="p15 ft9">Kapitel 18 reglerar sekretess till skydd främst för intresset av att förebygga eller beivra brott. I 1 § finns regler till skydd för det all- männas brottsförebyggande och brottsbeivrande verksamhet. Sek- retess gäller enligt andra paragrafen för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 5 kap. 1 § 1 polis- datalagen (2010:361). Enligt det förstnämnda lagrummet får person- uppgifter behandlas när det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet. Det polisarbete som åsyftas är i första hand underrättelseverksamhet. Bestämmelser som syftar till informationssäkerhet finns i 8 och 9 §§. 8 § innehåller bestäm- melser om sekretess för olika brottsförebyggande åtgärder som i huvudsak hänför sig till annan verksamhet än polisens. Vissa av åtgärderna syftar endast indirekt till att förebygga brott. I bestäm- melsen är föremålet för sekretessen uppgifter som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd i vissa angivna avseenden. I 9 § regleras sekretessen för uppgifter som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod. Sekretessen enligt paragrafens första punkt är begränsad till uppgifter om chiffer m.m. som avser att slå vakt om sekretessen i allmän verksamhet. Chiffret ska alltså ha till syfte att underlätta befordran eller användning av uppgifter som omfattas av sekretess. För detta ändamål används bl.a. kryptering. Det kan naturligtvis förekomma att chifferspråk används för meddelanden som inte innehåller uppgifter som omfattas av sekretess eller för vilka sekre- tess efter en tid inte längre gäller. Också sådana meddelanden i klartext kan hållas hemliga så att chiffret inte kan forceras.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">77</P> </DIV> </DIV> <DIV id="page_78"> <DIV id="id_1"> <P class="p281 ft21">SOU 2015:23</P> <P class="p249 ft16"><SPAN class="ft16">5.2.3</SPAN><SPAN class="ft63">Personuppgiftslagen</SPAN></P> <P class="p96 ft13">Skyddet för personuppgifter är av stor betydelse för myndig- heternas informationshantering. Personuppgiftslagen (PUL) inne- håller både bestämmelser om hur behandlingen av personuppgifter och känsliga personuppgifter får ske (med direkt betydelse för kraven på tillgänglighet, riktighet, konfidentialitet och spårbarhet) samt hur säkerhetsarbetet ska utformas. Av 1 § framgår att lagens syfte är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.</P> <P class="p284 ft8">Säkerhet är en viktig del av skyddet för den personliga inte- griteten. Den som behandlar personuppgifter med hjälp av in- formationsteknik måste därför skydda uppgifterna. Genom att i lagen begränsa och styra de sätt på vilka man får hantera person- uppgifter ges informationen ett särskilt skydd. Lagen innehåller även regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta.</P> <P class="p245 ft9">Enligt 31 § PUL ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vilka åtgärder som bör väljas är enligt lagrummet beroende av de tekniska möjligheter som finns, kostnaden för åtgärderna, vilka risker som finns och hur pass käns- liga de behandlade personuppgifterna är. Till tekniska åtgärder räk- nas exempelvis brandväggar, krypteringsfunktioner och antivirus, medan organisatoriska åtgärder handlar om säkerhetsarbetets orga- nisation, rutiner, instruktioner och policyer. Generellt gäller att ju känsligare personuppgifterna är eller ju fler personuppgifter som hanteras, desto mer omfattande bör säkerhetsåtgärderna vara.</P> <P class="p153 ft9">Ansvarig för säkerheten är enligt lagen den personuppgifts- ansvarige, det vill säga den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av person- uppgifter. Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter till någon annan som då blir att betrakta som personuppgiftsbiträde. Ett sådant biträde får behandla uppgifter enbart i enlighet med instruktioner från den personupp- giftsansvarige. Den personuppgiftsansvarige undgår inte ansvar för eventuella fel som personuppgiftsbiträdet gör.</P> <P class="p285 ft8">I 9 § PUL redovisas grundläggande krav på behandlingen av personuppgifter. I paragrafen anges bl.a. att den personuppgifts-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">78</P> </DIV> </DIV> <DIV id="page_79"> <DIV id="id_1"> <P class="p4 ft21">SOU 2015:23</P> <P class="p66 ft8">ansvarige ska se till att personuppgifter behandlas bara om det är lagligt, att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål och att upp- gifterna därefter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Vidare anges det att den personuppgiftsansvarige ska se till att de person- uppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen. Av stadgandet framgår vidare att inte heller fler uppgifter än vad som är nödvändigt med hänsyn till ändamålet får behandlas och att alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.</P> <P class="p15 ft38">Datainspektionen har som tillsynsmyndighet över tillämpningen av PUL utfärdat allmänna råd, lämnat vägledande uttalanden, med- delat beslut m.m. med bäring på informationssäkerhet.</P> <P class="p286 ft16"><SPAN class="ft16">5.2.4</SPAN><SPAN class="ft63">Registerförfattningar</SPAN></P> <P class="p210 ft37">Registerlagstiftningen rör specifika verksamheter och kan innehålla förhållandevis detaljerade krav på informationshanteringen. I detta sammanhang kan nämnas polisdatalagen (2010:361), kustbevak- ningsdatalagen (2012:145), lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksam- het och militära säkerhetstjänst och lagen (2007:259) om behand- ling av personuppgifter i Försvarets radioanstalts försvarsunder- rättelse- och utvecklingsverksamhet. Registerförfattningarnas huvud- sakliga syfte är att reglera inrättandet och användningen av viktigare register eller andra personuppgiftssamlingar inom den offentliga sektorn. Den bakomliggande tanken är att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt genom lag (prop. 1990/91:60 s. 50, KU 1990/91:11 s. 11, se även prop. 1997/98:44 s. 41). Som exempel kan nämnas lagen (2003:763) om behandling av personuppgifter inom socialförsäk- ringens administration vilken bland annat uttryckligen reglerar vilka som har behörighet att få tillgång till socialförsäkringsdata- basen.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">79</P> </DIV> </DIV> <DIV id="page_80"> <DIV id="id_1"> <P class="p281 ft21">SOU 2015:23</P> <P class="p287 ft9">Registerförfattningarna reglerar myndigheternas behandling av personuppgifter och är tänkta att ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter då behov finns att avvika från eller komplettera det integritetsskydd som person- uppgiftslagen annars ger. Arbetet med att uppnå ett sådant integri- tetsskydd som avses i författningarna innebär i praktiken att myn- digheterna behöver arbeta systematiskt med informationssäkerhet.</P> <P class="p288 ft8">Vissa författningar har enbart bestämmelser om myndigheters informationsbehandling. Andra författningar har en del bestäm- melser om informationsbehandling, men också om annat. Ytter- ligare en grupp författningar handlar i huvudsak om något annat, men har någon enstaka inskjuten regel om hantering av informa- tion.</P> <P class="p243 ft16"><SPAN class="ft16">5.2.5</SPAN><SPAN class="ft63">Arkivlagstiftningen</SPAN></P> <P class="p167 ft8">Allmänna handlingar är handlingar (oavsett medium) som har in- kommit till eller upprättats hos en myndighet och som förvaras hos myndigheten. De allmänna handlingarna bildar enligt 3 § arkivlagen (1990:782) myndigheternas arkiv. Utgångspunkten är att allmänna handlingar ska bevaras och att gallring endast får ske under vissa förutsättningar, ett krav som ställer uttryckliga krav på tillgänglig- heten hos informationen.</P> <P class="p289 ft9">I arkivlagen (1990:782) och arkivförordningen (1991:446) ges bestämmelser om myndigheternas och vissa andra organs arkiv samt om arkivmyndigheterna. Krav på skydd av allmänna handlingar ställs på myndigheter genom arkivlagen och Riksarkivets föreskrifter.</P> <P class="p282 ft9">Av 4 § arkivlagen (1990:782) framgår att varje myndighet ska svara för vården av sitt arkiv. I arkivvården ingår enligt 6 § bl.a. att skydda arkivet mot förstörelse, skada, tillgrepp och obehörig åtkomst.</P> <P class="p153 ft9">Riksarkivet har genom arkivförordningen fått mandat att med- dela föreskrifter för statliga myndigheter om bl.a. skydd av arkivet. Av Riksarkivets medieoberoende föreskrifter <NOBR>RA-FS</NOBR> 1991:1 fram- går att handlingar ska under hela bevarandetiden hanteras, förvaras och skyddas så att den fysiska och logiska kvaliteten bibehålls. RA- FS 2013:4 innehåller tekniska krav för arkivlokaler. Av före- skrifterna framgår att handlingar som tillhör myndighetens arkiv ska förvaras i arkivlokal som ger skydd mot vatten och skadlig fukt,</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">80</P> </DIV> </DIV> <DIV id="page_81"> <DIV id="id_1"> <P class="p4 ft21">SOU 2015:23</P> <P class="p66 ft8">brand, brandgas och skadlig upphettning, skadlig klimat- och miljöpåverkan, samt skadegörelse, tillgrepp och obehörig åtkomst. Vid val av lokalens placering ska myndigheten undersöka om den omgivande miljön är lämplig med hänsyn till dessa skyddskrav. Riskbedömningar måste därför göras av miljön både inom och utanför byggnaden.</P> <P class="p15 ft37">Vidare har Riksarkivet utfärdat föreskrifter för elektroniska handlingar som innehåller bestämmelser som handlar bl.a. om skydd av information. Föreskrifterna ställer krav på myndigheter att upprätta en strategi för bevarande av elektroniska handlingar <NOBR>(RA-FS</NOBR> 2009:1, 3 kap). Strategin ska innehålla de åtgärder myn- digheten avser att vidta för att säkerställa bevarande av elektroniska handlingar, dvs. hur handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras. Detta tydlig- gör att det inte bara är mänskliga misstag, tekniska fel eller antago- nistiska hot som kan hindra tillgänglighet. Även en sådan företeelse som att tekniken för informationshantering utvecklas över tid ställer krav på informationssäkerhetsarbetet.</P> <P class="p290 ft13">Föreskrifterna om elektroniska handlingar innehåller även krav på att upprätta en plan för informationssäkerhet <NOBR>(RA-FS</NOBR> 2009:1, 6 kap). Planen går ut på att myndigheter ska skapa rutiner för att skydda handlingarna från skada, manipulation, obehörig åtkomst och stöld med utgångspunkt i standarden <NOBR>SS-ISO/IEC</NOBR> 27001:2006 (LIS). Detta kan ske genom bl.a. behörighetskontollsystem, logg- system, skydd mot skadlig kod, säkerhetskopiering etc.</P> <P class="p243 ft16"><SPAN class="ft16">5.2.6</SPAN><SPAN class="ft63">Lagen om elektronisk kommunikation</SPAN></P> <P class="p132 ft8">I lagen (2003:389) om elektronisk kommunikation (LEK) finns bestämmelser om driftsäkerhet som gäller för alla som tillhanda- håller elektroniska kommunikationsnät eller <NOBR>-tjänster.</NOBR> I 5 kap. 6 b § LEK framgår följande:</P> <P class="p291 ft3">Den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att verksamheten uppfyller rimliga krav på driftsäkerhet. De åtgärder som vidtas ska vara ägnade att skapa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för störningar och avbrott. Regeringen eller den myndighet som</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">81</P> </DIV> </DIV> <DIV id="page_82"> <DIV id="id_1"> <P class="p281 ft21">SOU 2015:23</P> <P class="p292 ft12">regeringen bestämmer får meddela föreskrifter om på vilket sätt skyldigheten ska fullgöras och om undantag från skyldigheten.</P> <P class="p293 ft8">Syftet med bestämmelserna är att bidra till effektiva och säkra elek- troniska kommunikationer samt att skapa en grundläggande säker- hetsnivå för dessa. Med driftsäkerhet avses främst upprätthållande av funktion och tillgänglighet, men även uthållighet vid extraordi- nära händelser i fredstid.</P> <P class="p284 ft8">Post- och telestyrelsen (PTS) är tillsynsmyndighet över lagen om elektronisk kommunikation och har tagit fram allmänna råd som förtydligar bestämmelserna och utgör PTS rekommendationer om hur säkerhetsarbete kan bedrivas för att uppfylla kraven i LEK. Säkerhetsarbete innebär i detta fall att förebygga avbrott och stör- ningar genom att genomföra riskanalyser och riskhantering, planera för hantering av avbrott och störningar samt följa upp dessa när de inträffar. PTS har även tagit fram förskrifter som ställer krav på hur operatörerna ska skydda sina kunders uppgifter och kom- munikation</P> <P class="p289 ft13">Av 6 kap. 3, 3 a och 4 §§ LEK framgår bl.a. att den som till- handahåller en allmänt tillgänglig elektronisk kommunikations- tjänst ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlade uppgifter skyddas. Den som till- handahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgär- derna ska vara ägnade att säkerställa en säkerhetsnivå, som med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Med integritetsincident avses enligt 6 kap. 1 § LEK en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster. Den som är skyldig att lagra uppgifter enligt LEK ska vidta de särskilda tekniska och organisa- toriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling. Om det vid tillhandhållandet av en allmänt tillgäng- lig elektronisk kommunikationstjänst finns särskild risk för bris- tande skydd av behandlade uppgifter, ska den som tillhandahåller tjänsten informera abonnenten om risken.</P> <P class="p294 ft8">I 6 kap. <NOBR>5–10</NOBR> a §§ LEK regleras behandling av trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter. Med trafik-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">82</P> </DIV> </DIV> <DIV id="page_83"> <DIV id="id_1"> <P class="p4 ft21">SOU 2015:23</P> <P class="p283 ft13">uppgift förstås uppgift som behandlas i syfte att befordra ett elek- troniskt meddelande via ett elektroniskt kommunikationsnät eller som behövs för att fakturera detta meddelande. Huvudregeln är att det åligger anmälningspliktig tillhandahållare av allmänt kommuni- kationsnät eller allmänt tillgängliga elektroniska kommunikations- tjänster att utplåna eller avidentifiera dessa uppgifter när de inte längre behövs för att överföra ett elektroniskt meddelande. 6 kap. 8 § LEK reglerar undantag från operatörernas skyldighet att ut- plåna och avidentifiera trafikuppgifter när de inte längre behövs för att överföra ett elektroniskt meddelande.</P> <P class="p15 ft13">Lokaliseringsuppgift definieras enligt 1 kap. 7 § LEK som upp- gift som behandlas i ett elektroniskt kommunikationsnät eller av en elektronisk kommunikationstjänst och som visar den geografiska positionen för terminalutrusningen för en användare. Lokalise- ringsuppgifter som inte är trafikuppgifter, till exempel uppgifter om position från satellit, som rör användare som är fysiska perso- ner eller abonnenter får behandlas endast sedan de avidentifierats eller användaren eller abonnenten gett sitt samtycke till behand- lingen. Även i detta fall ska information lämnas om vilka uppgifter som kommer att behandlas och syfte med mera.</P> <P class="p59 ft8">I 6 kap. <NOBR>15–16</NOBR> §§ LEK finns bestämmelser om abonnentförteck- ning och hur dessa får behandlas och 16 a § reglerar lagring av trafikuppgifter för brottsbekämpande ändamål.</P> <P class="p15 ft8">I 5 kap. <NOBR>1–6</NOBR> §§ LEK regleras samhällsomfattande tjänster, med vilka avses det minimiutbud av tjänster av viss angiven kvalitet, vilka ska vara tillgängliga för alla användare till ett överkomligt pris. Bestämmelser om vilka de samhällsomfattande tjänsterna är finns i 5 kap. 1 § första stycket LEK. Till dessa tjänster hör enligt första och andra punkterna att uppfylla rimliga krav på anslutning till ett allmänt kommunikationsnät i en fast nätanslutningspunkt och på tillgång till allmänt tillgängliga telefonitjänster i en fast nätanslut- ningspunkt.</P> <P class="p15 ft13">I 5 kap. 6 <NOBR>a–11</NOBR> §§ LEK regleras de allmänna skyldigheter som gäller bl.a. för den som tillhandahåller ett allmänt kommunikations- nät eller en allmänt tillgänglig telefonitjänst (prop. 2010/11:115 s. 169). Av 5 kap. 6 b § LEK framgår att den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska vidta lämpliga tekniska och organisa- toriska åtgärder för att säkerställa att verksamheten uppfyller</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">83</P> </DIV> </DIV> <DIV id="page_84"> <DIV id="id_1"> <P class="p295 ft21">SOU 2015:23</P> <P class="p296 ft8">rimliga krav på driftsäkerhet. De åtgärder som vidtas ska vara ägnade att skapa en säkerhetsnivå som, med beaktande av tillgäng- lig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för störningar och avbrott.</P> <P class="p297 ft9">Enligt 6 kap. 18 § LEK får uppgifter lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnen- ten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Syftet med bestämmelsen är att förhindra att internetanvändare spåras utan sitt samtycke. Detta genom att förbjuda att data sparas på, eller hämtas från, använ- darens terminalutrustning, till exempel dator, mobiltelefon eller surfplatta. Bestämmelsen benämns ibland <NOBR>cookie-lagen.</NOBR></P> <P class="p298 ft73"><SPAN class="ft33">5.3</SPAN><SPAN class="ft72">Reglering av säkerhetsskydd, krishantering och informationssäkerhetsarbete</SPAN></P> <P class="p299 ft16"><SPAN class="ft16">5.3.1</SPAN><SPAN class="ft63">Säkerhetsskyddslagstiftningen</SPAN></P> <P class="p300 ft9">I säkerhetsskyddslagen (1996:627) finns bestämmelser om säker- hetsskydd, med vilket enligt 6 § avses skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400)(OSL) och som rör rikets säkerhet, och skydd mot terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott (terrorlagen), även om brotten inte hotar rikets säkerhet. Säkerhetsskyddsbestämmelserna reglerar hanteringen av sekretessbelagda uppgifter som rör rikets säkerhet (hemliga upp- gifter) så att dess inte röjs, ändras eller förstörs.</P> <P class="p301 ft9">Av 7 § säkerhetsskyddslagen framgår att säkerhetsskyddet ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (informations- säkerhet) att obehöriga får tillträde till platser där de kan få tillgång till sådana uppgifter eller där verksamhet som har betydelse för rikets säkerhet bedrivs (tillträdesbegränsning) och att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som är av betydelse för rikets säkerhet (säkerhetsprövning). Säkerhetsskyddet ska även i övrigt förebygga terrorism.</P> <P class="p297 ft37">Lagen gäller enligt 1 § för staten, kommunerna och landstingen, liksom för bolag, föreningar och stiftelser som dessa har ett rätts-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">84</P> </DIV> </DIV> <DIV id="page_85"> <DIV id="id_1"> <P class="p4 ft21">SOU 2015:23</P> <P class="p163 ft8">ligt bestämmande inflytande över, samt för enskilda, om verksam- heten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism.</P> <P class="p257 ft13">När staten, kommuner eller landsting ska begära in anbud eller träffa avtal om upphandling, där det förekommer uppgifter som omfattas av sekretess, ska enligt 8 § ett säkerhetsskyddsavtal träffas med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet.</P> <P class="p14 ft8">Enligt 9 § ska vid utformningen av informationssäkerheten behovet av skydd för automatisk informationsbehandling beaktas särskilt.</P> <P class="p15 ft8">Av 11 § framgår att säkerhetsprövning ska göras innan en person genom anställning eller på annat sätt deltar i verksamhet som är av betydelse för rikets säkerhet eller för skyddet mot terro- rism. Prövningen ska klarlägga om personen kan antas vara lojal mot de intressen som skyddas i lagen och i övrigt pålitlig från säkerhetssynpunkt. Säkerhetsprövningen ska omfatta registerkon- troll och särskild personutredning. Anställning eller annat del- tagande i verksamhet som innebär att en anställd får tillgång till sekretessbelagda uppgifter som har betydelse för rikets säkerhet placeras i så kallade säkerhetsklasser. Det finns tre olika säkerhets- klasser och vilken av dessa en anställning eller annat deltagande i verksamheten placeras i beror på i vilken utsträckning den anställde får del av sekretessbelagda uppgifter som rör rikets säkerhet. När det gäller anställningar som har placerats i säkerhetsklass ska säker- hetsprövningen även omfatta registerkontroll, dvs. att uppgifter hämtas från olika polisregister, och i klass 1 och 2 även särskild personutredning. Registerkontroll kan också göras till skydd mot terrorism.</P> <P class="p59 ft9">I säkerhetsskyddsförordningen (1996:633) finns närmare bestäm- melser om säkerhetsskydd. Enligt 5 § ska myndigheter och andra som förordningen gäller för, undersöka vilka uppgifter i deras verksamhet som ska hållas hemliga med hänsyn till rikets säkerhet och vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism. Resultatet av denna under- sökning (säkerhetsanalys) ska dokumenteras. Vidare ska en säkerhets- skyddschef utses enligt 6 §. Säkerhetsskyddschefen ska utöva kontroll över säkerhetsskyddet och vara direkt underställd myndighetens chef.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">85</P> </DIV> </DIV> <DIV id="page_86"> <DIV id="id_1"> <P class="p281 ft21">SOU 2015:23</P> <P class="p287 ft13">I <NOBR>9–13</NOBR> §§ finns också bestämmelser om informationssäkerhet som bl.a. rör inventering samt försändelse av handlingar som om- fattas av sekretess som rör rikets säkerhet (hemliga handlingar). Av 12 § framgår att innan en myndighet inrättar ett register, som ska föras med hjälp av automatisk databehandling och som kan förut- ses komma att innehålla sådana uppgifter att utlämnandet av dem var för sig eller sammanställda kan skada totalförsvaret, ska myn- digheten samråda med Försvarsmakten och, om uppgifternas natur ger anledning till det, Säkerhetspolisen. I fråga om uppgifter av betydelse för rikets säkerhet i övrigt ska i motsvarande fall samråd ske med Säkerhetspolisen. Ett system, som av flera personer ska användas för automatisk informationsbehandling av hemliga uppgifter, ska vara försett med funktioner för behörighetskontroll och registrering av händelser i systemet som är av betydelse för säkerheten. Systemet får inte tas i drift förrän det från säkerhets- synpunkt har godkänts av den för vars verksamhet systemet in- rättas.</P> <P class="p153 ft13">Enligt 13 § ska myndigheter och andra som förordningen gäller för, innan de sänder hemliga uppgifter i ett datanät utanför sin kon- troll, förvissa sig om att det för uppgifterna där finns en fullgod informationssäkerhet. Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten.</P> <P class="p245 ft13">Säkerhetspolisen och Försvarsmakten har enligt 39 § säkerhets- skyddsförordningen ansvaret för att kontrollera säkerhetsskyddet hos myndigheterna. Säkerhetspolisen och Försvarsmakten har vidare, med stöd av <NOBR>43–44</NOBR> §§ förordningen meddelat verkställig- hetsföreskrifter för respektive tillsynsområde. I föreskrifterna finns bestämmelser bl.a. om informationssäkerhet.</P> <P class="p302 ft16"><SPAN class="ft16">5.3.2</SPAN><SPAN class="ft63">Lagen (1992:1403) om totalförsvar och höjd beredskap</SPAN></P> <P class="p303 ft9">Lagen (1992:1403) om totalförsvar och höjd beredskap reglerar hur beredskapen i Sverige kan höjas. Enligt 1 § är totalförsvar verksam- het som behövs för att förbereda Sverige för krig. I 2 § förskrivs dock att totalförsvarsresurserna ska utformas så att de även kan stärka samhällets förmåga att förebygga och hantera svåra påfrest- ningar på samhället. Enligt lagmotiven ska dessa resurser kunna ställas till förfogande även för samhällsverksamhet i fred.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">86</P> </DIV> </DIV> <DIV id="page_87"> <DIV id="id_1"> <P class="p4 ft21">SOU 2015:23</P> <P class="p209 ft9">Totalförsvaret ska inte ses som en organisation utan som en verksamhet som, utöver det militära försvaret, innefattar det civila försvaret som till alla delar betecknar och består av olika sam- hällsorgans verksamhet i syfte att kunna stärka samhällets förmåga att förebygga och hantera svåra nationella påfrestningar i fred. När dessa resurser tas i anspråk i sådan verksamhet är det alltså inte fråga om totalförsvarsverksamhet utan det handlar om att totalför- svarsresurser ställs till förfogande för det samhällsorgan som nor- malt har att hantera en viss situation. Syftet är således att på ett effektivare sätt utnyttja samhällets samlade resurser och inte att utvidga vad som avses med totalförsvar(prop. 1996/97:4 s. 60).</P> <P class="p304 ft16"><SPAN class="ft16">5.3.3</SPAN><SPAN class="ft63">Förordningen (2006:942) om krisberedskap och höjd beredskap och MSB:s föreskrifter om statliga myndigheters informationssäkerhet</SPAN></P> <P class="p305 ft13">Förordningen (2006:942) om krisberedskap och höjd beredskap innehåller föreskrifter som dels reglerar krisberedskapen, dels ansluter till vad som föreskrivs i lagen (1992:1403) om totalförsvar och höjd beredskap. Bestämmelserna i förordningen syftar till att statliga myndigheter genom sin verksamhet ska minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter under fredstida krissituationer och höjd beredskap (1 §). I förord- ningen regleras myndigheternas krisberedskap, dvs. förmågan att genom utbildning, övning och andra åtgärder samt genom den organisation och de strukturer som skapas före, under och efter en kris förebygga, motstå och hantera krissituationer, och säkra kryp- tografiska funktioner (4 §).</P> <P class="p166 ft8">Enligt 9 § ska samtliga myndigheter genomföra en riskanalys en gång per år. Syftet är enligt 9 § i förordningen att stärka sin egen och samhällets krisberedskap. Myndigheter med särskilt ansvar för krisberedskapen enligt förordningen ska lämna en redovisning baserad på riskanalysen till Regeringskansliet och Myndigheten för samhällsskydd och beredskap (MSB).</P> <P class="p15 ft37">Enligt 18 § förordningen om krisberedskap och höjd beredskap ska de myndigheter som har ett ansvar att vidta de förberedelser som krävs inom respektive ansvarsområde vid höjd beredskap (bevak- ningsansvariga myndigheter) bl.a. planera för att kunna anpassa verksamheten inför en förändrad säkerhetspolitisk situation.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">87</P> </DIV> </DIV> <DIV id="page_88"> <DIV id="id_1"> <P class="p281 ft21">SOU 2015:23</P> <P class="p287 ft9">Av 30 a § KBF framgår att varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Därvid ska behovet av säkra lednings- system särskilt beaktas. Ett ledningssystem anger i sig inte några säkerhetskrav för verksamheten utan det ger stöd för ledningens och organisationens systematiska arbete med ständig förbättring av informationssäkerheten. Även om kravet finns i krisberedskaps- förordningen avser det inte endast krisberedskapsarbete, utan gäller generellt för informationssäkerhetsarbete i statsförvaltningen eftersom ett väl fungerande krisberedskapsarbete underlättas av en stabil och säker informationshantering.</P> <P class="p284 ft8">I förordningen anges vidare vilka myndigheter som ska ha säkra kryptografiska funktioner.</P> <P class="p153 ft9">Med stöd av 34 § nämnda förordning har MSB utfärdat före- skrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10). Enligt föreskrifterna ska en myndighet upprätthålla säkerhet i sin informationshantering och som ett led i detta arbete tillämpa ett ledningssystem för informationssäkerhet. Detta inne- bär enligt föreskrifterna att myndigheterna ska ha en informations- säkerhetspolicy, ska ha någon eller några som leder och samordnar informationssäkerhetsarbetet, ska klassificera sin information, ska genomföra risk- och sårbarhetsanalyser och utifrån dessa hantera risker samt ska dokumentera granskningar och vidtagna säkerhets- åtgärder av större betydelse. Föreskrifterna ställer även krav på att ledningen löpande informerar sig om arbetet med informations- säkerhet samt att ledningen minst en gång per år följer upp och ut- värderar informationssäkerhetsarbetet på myndigheten.</P> <P class="p289 ft37">MSB har med stöd av förordningen även utfärdat föreskrifter om civila myndigheters kryptoberedskap (MSBFS 2009:11)och om statliga myndigheters risk- och sårbarhetsanalyser (MSBFS 2010:7).</P> <P class="p306 ft16"><SPAN class="ft16">5.3.4</SPAN><SPAN class="ft63">Förordningen om statliga myndigheters riskhantering, m.m.</SPAN></P> <P class="p142 ft13">Förordningen (1995:1300) om statliga myndigheters riskhantering ställer också krav på att myndigheterna genomför en riskanalys. Förordningen riktas dock endast till myndigheter under regeringen och har till syfte att identifiera sådana risker som kan innebära</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">88</P> </DIV> </DIV> <DIV id="page_89"> <DIV id="id_1"> <P class="p4 ft21">SOU 2015:23</P> <P class="p66 ft8">skador eller förluster för staten. Efter att ha värderat riskerna och uppskattat vilka kostnader riskerna medför ska myndigheten vidta lämpliga åtgärder för att begränsa riskerna och förebygga skador eller förluster. Förordningen (2007:603) om intern styrning och kontroll innebär krav på ordning och reda i informationsflödet och därmed informationssäkerhet.</P> <P class="p307 ft16"><SPAN class="ft16">5.3.5</SPAN><SPAN class="ft63">Lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap</SPAN></P> <P class="p305 ft9">Lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap syftar till att kommuner och landsting ska minska sårbarheten i sin verk- samhet och ha en god förmåga att hantera krissituationer i fred. Kommuner och landsting ska därigenom också uppnå en grund- läggande förmåga till civilt försvar. Enligt 1 kap. 4 § definieras en extraordinär händelse som en sådan händelse som avviker från det normala, innebär en allvarlig störning eller överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och kräver skynd- samma insatser av en kommun eller ett landsting. Lagen föreskriver att det i kommuner och landsting ska finnas en nämnd för att fullgöra uppgifter under extraordinära händelser i fredstid (krisled- ningsnämnd). Kommuner och landsting ska för varje ny mandat- period anta en plan för hur extraordinära händelser ska hanteras.</P> <P class="p58 ft8">Enligt 2 kap. 1 § ska kommunerna och landstingen ta fram en risk- och sårbarhetsanalys till grund för planen för hur de ska hantera extraordinära händelser. Vidare anges i bestämmelsen att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om risk- och sårbarhetsanalyser samt planer för hantering av extraordinära händelser. Med stöd av 12 § förord- ningen (2006:637) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap har MSB utfärdat föreskrifter om vad som ska ingå i en risk- och sårbarhetsanalys (MSBFS 2015:5 för kommuner och MSBFS 2015:4 för landsting). Bland de olika förhållanden som kommunen ska kunna redogöra för finns krav på rapportering av hur god förmåga kommunen har att skydda informationens konfidentialitet, till- gänglighet och riktighet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">89</P> </DIV> </DIV> <DIV id="page_90"> <DIV id="id_1"> <P class="p281 ft21">SOU 2015:23</P> <P class="p308 ft49"><SPAN class="ft33">5.4</SPAN><SPAN class="ft80">Specifik reglering av brottsbekämpande och underrättelsemyndigheters arbete på området</SPAN></P> <P class="p309 ft8">Detta avsnitt handlar om en del av de verktyg som de brotts- bekämpande myndigheterna och underrättelsemyndigheterna har för att bekämpa <NOBR>it-brottslighet</NOBR> respektive att stödja svensk <NOBR>utrikes-,</NOBR> säkerhets- och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet.</P> <P class="p284 ft8">Utredning av <NOBR>it-relaterad</NOBR> brottslighet ger kunskaper om bl.a. tillvägagångssätt och aktörer, vilket är av stort värde vid utform- ningen av olika skyddsåtgärder. En effektiv lagföring av <NOBR>it-relaterad</NOBR> brottslighet är viktig för att minska benägenheten att begå sådana brott.</P> <P class="p243 ft16"><SPAN class="ft16">5.4.1</SPAN><SPAN class="ft63">27 kap. rättegångsbalken</SPAN></P> <P class="p142 ft13">I 27 kap. rättegångsbalken (RB) tas upp bestämmelser om flera olika straffprocessuella tvångsmedel som kan sättas in under en förundersökning, nämligen beslag, avspärrning av brottsplats m.m. hemlig avlyssning av elektronisk kommunikation, hemlig övervak- ning av elektronisk kommunikation och hemlig kameraöver- vakning. Datorbehandlingsbara uppgifter kan säkras även genom beslag. Enligt 27 kap. 1 § första stycket rättegångsbalken får bl.a. föremål som skäligen kan antas ha betydelse för utredning om brott tas i beslag (s.k. bevisbeslag). Beslag kan endast avse lösa saker. Eftersom elektronisk information har en bärare, exempelvis en dator, en mobiltelefon eller ett fickminne, som är att betrakta som ett föremål och därför kan tas i beslag är beslagsreglerna tillämpliga även på elektroniska uppgifter.</P> <P class="p245 ft37">Frågan om behovet av nya hemliga tvångsmedel i den digitala miljön lyftes fram av Beredningen för rättsväsendets utveckling i betänkandet <SPAN class="ft62">Tillgång till elektronisk kommunikation i brotts- utredningar m.m. </SPAN>(SOU 2005:38). Utredningen tog upp frågan om införandet av tvångsmedlet hemlig dataavläsning. Hemlig dataavläs- ning förklarades innebära att information i informationssystem i hemlighet avläses med hjälp av program eller annat tekniskt hjälp- medel vid förundersökning i brottmål. Utredningen om vissa hem- liga tvångsmedel återkom till frågan i betänkandet <SPAN class="ft62">Hemliga tvångs- medel mot allvarliga brott </SPAN>(SOU 2012:44).</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">90</P> </DIV> </DIV> <DIV id="page_91"> <DIV id="id_1"> <P class="p4 ft21">SOU 2015:23</P> <P class="p249 ft16"><SPAN class="ft16">5.4.2</SPAN><SPAN class="ft63">Lagen om försvarsunderrättelseverksamhet</SPAN></P> <P class="p210 ft13">Lagen (2000:130) om försvarsunderrättelseverksamhet innehåller bestämmelser om försvarsunderrättelseverksamhetens uppgifter och arbetsformer. Där anges att verksamheten ska bedrivas bl.a. för att kartlägga yttre militära hot mot landet samt att verksamheten inte får avse uppgifter som enligt lagar eller andra föreskrifter ligger inom ramen för polisens och andra myndigheters brottsbekäm- pande och brottsförebyggande arbete. I lagen anges att verksam- heten ska bedrivas av Försvarsmakten och de andra myndigheter som regeringen bestämmer. I lagen finns också bestämmelser om utlandssamarbete i underrättelsefrågor och om insyn i under- rättelseverksamheten.</P> <P class="p310 ft18"><SPAN class="ft16">5.4.3</SPAN><SPAN class="ft81">Lagen om signalspaning i försvarsunderrättelseverksamhet</SPAN></P> <P class="p192 ft37">Lagen (2008:717) om signalspaning i försvarsunderrättelseverksam- het omfattar signalspaning för försvarsunderrättelseändamål. Lagen innehåller regler till skydd för den enskildes integritet. Signal- spaning sker efter inriktning från regeringen, Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdel- ningen i Polismyndigheten. I lagen finns regler om när uppgifter ska förstöras, hur rapportering ska ske, och om användning av sökbegrepp. Signalspaning får endast avse kommunikation som är relevant för verksamheten, och signalspaningsmyndigheten ska ansöka om tillstånd för signalspaning hos Försvarsunderrättelse- domstolen.</P> <P class="p311 ft33"><SPAN class="ft33">5.5</SPAN><SPAN class="ft48">Brottsbalken</SPAN></P> <P class="p192 ft9">Rättslig reglering bidrar till informationssäkerhet genom att ställa krav på att vidta åtgärder men även genom att kriminalisera vissa handlingar. Många brott, som bedrägeri, begås i dag ofta med hjälp av it. Ett brott med uttrycklig koppling till it är dataintrång. Enligt 4 kap. 9 c § brottsbalken (BrB) är det förbjudet att olovligen bereda sig tillgång till en uppgift som är avsedd för automatiserad behand- ling eller att olovligen ändra, utplåna, blockera eller i register föra</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">91</P> </DIV> </DIV> <DIV id="page_92"> <DIV id="id_1"> <P class="p312 ft21">SOU 2015:23</P> <P class="p313 ft8">in en sådan uppgift. Det är heller inte tillåtet att olovligen allvarligt störa eller hindra användningen av en sådan uppgift. Den som bryter mot detta kan dömas för dataintrång till böter eller fängelse i högst två år eller för grovt dataintrång till fängelse mellan sex månader och sex år. Sedan den 1 juli 2014 är försök eller för- beredelse till dataintrång som om det fullbordats inte skulle ha varit att anse som ringa, eller grovt dataintrång straffbart (4 kap. 10 § BrB).</P> <P class="p314 ft8">I 4 kap. 8 § BrB finns bestämmelser om brytande av post- och telehemlighet. Den som olovligen bereder sig tillgång till ett med- delande, som ett post- eller telebefordringsföretag förmedlar som postförsändelse eller i ett elektroniskt kommunikationsnät, döms för brytande av post- eller telehemlighet till böter eller fängelse i högst två år.</P> <P class="p315 ft9">I 9 kap. 1 § andra stycket BrB finns bestämmelser om s.k. dator- bedrägeri. Gärningsmannen ska genom att lämna oriktig eller ofull- ständig uppgift, genom att ändra i program eller upptagning eller på annat sätt olovligen påverka resultatet av en automatisk informa- tionsbehandling eller liknande automatisk process, så att det inne- bär vinning för honom och skada för någon annan.</P> <P class="p316 ft8">Allvarliga angrepp som riktas mot egendom som har avsevärd betydelse för rikets försvar, folkförsörjning, rättsskipning, förvalt- ning eller upprättande av allmän ordning och säkerhet kan vara att bedöma som sabotage eller grovt sabotage enligt 13 kap. 4 och 5 §§ BrB.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">92</P> </DIV> </DIV> <DIV id="page_93"> <P class="p317 ft40"><SPAN class="ft7">6</SPAN><SPAN class="ft58">Myndigheter med särskilt ansvar för informationssäkerhet</SPAN></P> <P class="p318 ft8">Ansvaret för styrning och ledning av statsförvaltningens informa- tions- och cybersäkerhet är fördelat mellan riksdagen, regeringen samt de av regeringen utsedda tillsyns- och stödmyndigheterna. Ett operativt ansvar är också fördelat till den enskilda myndighets- ledningen i övriga myndigheter.</P> <P class="p15 ft37">Informations- och cybersäkerhet är en viktig del av krisbered- skapen. Grunden för samhällets krisberedskap är ansvarsprincipen (prop. 2007/08:92, bet. 2007/08:FöU12, rskr. 2007/08:193). Det innebär att den som har ansvar för en verksamhet under normala förhållanden också har det under allvarliga händelser, kriser eller krig. I ansvarsprincipen ingår även att samverka med andra, ofta sektorsövergripande, i den omfattning som krävs för att effektivt förebygga och hantera en allvarlig händelse. Samverkansdelen i ansvarsprincipen betonas särskilt i den redovisning av krisbered- skapen som lämnades av regeringen till riksdagen i mars 2014. Vidare framhålls vikten av att ansvar och roller anges tydligt för att en ändamålsenlig samverkan ska nås (lagen om sprängämnes- prekursorer och redovisning av krisberedskapens utveckling, prop. 2013/14:144 s. 51). Detta tydliggörs även genom kravet på att myndigheterna ska samverka och stödja varandra i 5 § förord- ningen (2006:942) om krisberedskap och höjd beredskap (KBF).</P> <P class="p165 ft9">Det finns flera statliga myndigheter med särskilda uppgifter eller uppdrag på informations- och cybersäkerhetsområdet, såväl nationellt som internationellt, och frågorna spänner över en mängd olika områden och nivåer. De statliga myndigheterna bör utveckla sin förmåga att samverka inom informationssäkerhetsområdet. För att underlätta denna förmåga behövs enligt denna utrednings direk- tiv en enhetlig och samlad beskrivning av respektive myndighets</P> <P class="p319 ft20">93</P> </DIV> <DIV id="page_94"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">ansvar och roll utifrån dagens uppgifter och uppdrag på in- formationssäkerhetsområdet. I kapitlet lämnas en sådan beskriv- ning.</P> <P class="p320 ft73"><SPAN class="ft16">6.1</SPAN><SPAN class="ft82">Myndigheter i samverkansgruppen för informationssäkerhet (SAMFI)</SPAN></P> <P class="p263 ft16"><SPAN class="ft16">6.1.1</SPAN><SPAN class="ft63">Myndigheten för samhällsskydd och beredskap (MSB)</SPAN></P> <P class="p75 ft8">Myndigheten för samhällsskydd och beredskap (MSB) har enligt 1 § förordningen (2008:1002) med instruktion för Myndigheten för samhällskydd och beredskap ansvar för frågor om skydd mot olyckor, krisberedskap och civilt försvar, i den utsträckning inte någon annan myndighet har ansvaret. Ansvaret avser åtgärder före, under och efter en olycka eller en kris. Myndigheten ska</P> <P class="p213 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">utveckla och stödja samhällets beredskap mot olyckor och kriser och vara pådrivande i arbetet med förebyggande och sårbarhets- reducerande åtgärder,</SPAN></P> <P class="p321 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">arbeta med samordning mellan berörda aktörer i samhället för att förebygga och hantera olyckor och kriser,</SPAN></P> <P class="p247 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">bidra till att minska konsekvenser av olyckor och kriser,</SPAN></P> <P class="p246 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">följa upp och utvärdera samhällets krisberedskapsarbete, och</SPAN></P> <P class="p213 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">se till att utbildning och övningar kommer till stånd inom myn- dighetens ansvarsområde.</SPAN></P> <P class="p322 ft13">När det gäller förebyggande och förberedande arbete ska myndig- heten enligt 2 § i samverkan med myndigheter, kommuner, lands- ting, organisationer och företag identifiera och analysera sådana sårbarheter, hot och risker i samhället som kan anses vara särskilt allvarliga. Myndigheten ska vidare tillsammans med de ansvariga myndigheterna genomföra en övergripande planering av åtgärder som bör vidtas. Myndigheten ska värdera, sammanställa och rap- portera resultatet av arbetet till regeringen.</P> <P class="p72 ft8">Myndigheten ska enligt 5 § se till att utbildning inom krisbered- skapsområdet tillhandahålls. Myndigheten ska därtill genomföra övningar inom sitt ansvarsområde. Myndigheten ska vid behov</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">94</P> </DIV> </DIV> <DIV id="page_95"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p66 ft8">stödja Regeringskansliet i utbildnings- och övningsverksamheten inom krisberedskapsområdet. Vidare ska myndigheten se till att ledningsmetoder, stödsystem och materiel för krishantering ut- vecklas och tillhandahålls.</P> <P class="p15 ft8">När det gäller samordning och stöd vid olyckor och kriser ska myndigheten enligt 7 § ha förmågan att bistå med stödresurser i samband med allvarliga olyckor och kriser samt stödja samord- ningen av berörda myndigheters åtgärder vid en kris. Myndigheten ska se till att berörda aktörer vid en kris får tillfälle att</P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">samordna krishanteringsåtgärderna,</SPAN></P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">samordna information till allmänhet och media,</SPAN></P> <P class="p107 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">effektivt använda samhällets samlade resurser och internatio- nella förstärkningsresurser, och</SPAN></P> <P class="p108 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">samordna stödet till centrala, regionala och lokala organ i fråga om information och lägesbilder.</SPAN></P> <P class="p323 ft8">Myndigheten ska ha förmågan att bistå Regeringskansliet med underlag och information i samband med allvarliga olyckor och kriser.</P> <P class="p15 ft37">För uppföljning, utvärdering och lärande ska myndigheten enligt 10 § såväl områdesvis som på en övergripande samhällsnivå följa upp och utvärdera krisberedskapen och bedöma om vidtagna åtgärder fått önskad effekt. Vidare ska myndigheten kunna göra en samlad bedömning av olycksutvecklingen och det säkerhetsarbete som är kopplat till den.</P> <P class="p324 ft8">Myndigheten ska enligt 11 § se till att erfarenheter tas till vara från inträffade olyckor och kriser. Till stöd för detta ska myndig- heten tillhandahålla tvärsektoriella och samlade bilder och bedöm- ningar samt utveckla kompetens och metodik inom området som tillgodoser nationella, regionala och lokala behov.</P> <P class="p59 ft13">Avseende informationssäkerhet ska myndigheten enligt 11 a § stödja och samordna arbetet med samhället informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Myndigheten ska även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">95</P> </DIV> </DIV> <DIV id="page_96"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p199 ft8">kan leda till behov av åtgärder inom olika nivåer och områden i samhället. Myndigheten ska vidare svara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera <NOBR>it-incidenter.</NOBR> Myndigheten ska i detta arbete</P> <P class="p265 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">agera skyndsamt vid inträffade </SPAN><NOBR>it-incidenter</NOBR> genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i arbetet som krävs för att avhjälpa eller lindra effekter av det inträffade,</P> <P class="p325 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">samverka med myndigheter med särskilda uppgifter inom in- formationssäkerhetsområdet, och</SPAN></P> <P class="p265 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder samt utveckla samarbetet och informationsutbytet med dessa.</SPAN></P> <P class="p326 ft8">Myndigheten ska enligt 17 a § vara Sveriges kontaktpunkt för skydd av europeisk kritisk infrastruktur enligt artikel 10.1 i rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedöm- ning av behovet att stärka skyddet av denna.</P> <P class="p238 ft13">Vid avdelningen för risk- och sårbarhetsreducerande arbete bedrivs myndighetens verksamhet för samhällets informations- och cybersäkerhet. Enheten för systematiskt informationssäkerhets- arbete lämnar råd och stöd om det förebyggande arbetet inom området till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Enheten lämnar även råd och stöd till andra statliga myndigheter, kommuner och landsting i arbetet med risk- och sårbarhetsanalyser. Enheten ansvarar för webb- platsen Informationssäkerhet.se. Enheten svarar vidare för att analysera och bedöma omvärldsutvecklingen inom sitt område.</P> <P class="p201 ft9">Enheten för cybersäkerhet och skydd av kritisk informations- infrastruktur lämnar råd och stöd till tekniskt förebyggande arbete inom området, med fokus på kritisk informationsinfrastruktur, till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Enheten ansvarar för myndighetens arbete med säkra kryptografiska funktioner för det civila samhället och för arbetet med myndighetens uppdrag vad avser eter- och medieberedskap. Enheten leder och samordnar arbetet med informationssäkerhet i myndig-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">96</P> </DIV> </DIV> <DIV id="page_97"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p145 ft8">hetens externa kommunikationstjänster, som WIS, SGSI och RAKEL, för ledning och samverkan så att användarnas behov och krav tillgodoses. Enheten ansvarar vidare för att analysera och bedöma omvärldsutvecklingen inom sitt område.</P> <P class="p148 ft8">Enheten för operativ cybersäkerhet och <NOBR>it-incidenthantering</NOBR> upprätthåller Nationell operativ samverkansfunktion för inform- ations- och cybersäkerhet (NOS). Personal från enheterna för systematiskt informationssäkerhetsarbete och för cybersäkerhet och skydd av kritisk informationsinfrastruktur ingår i NOS. Som en del i arbetet med att stödja samhället med att hantera och före- bygga <NOBR>it-incidenter</NOBR> ska enheten upprätthålla funktionen <NOBR>CERT-SE,</NOBR> som är Sveriges del av det internationella nätverket av Computer Emergency Response Teams (CERT). Enheten är den operativa kontaktpunkten gentemot motsvarande funktioner i andra länder. Enheten säkerställer att myndighetens verksamhet vad gäller sam- hällets informations- och cybersäkerhet i sin helhet kan agera skyndsamt vid inträffade <NOBR>it-incidenter</NOBR> genom att sprida in- formation samt vid behov samordna åtgärder och medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade. Enheten har ett ansvar för att operativt stödja arbetet med <NOBR>it-säker-</NOBR> heten i de av myndighetens externa lednings- och stödsystem som kräver det. Enheten ansvarar vidare för webbplatsen cert.se. En- heten ansvarar även för att analysera och bedöma omvärldsutveck- lingen inom sitt område. I det ingår bl.a. löpande omvärldsbevak- ning, att producera och delge anpassad information till relevanta aktörer.</P> <P class="p204 ft9">Vid avdelningen för risk- och sårbarhetsreducerande arbete finns också Enheten för skydd av samhällsviktig verksamhet. En- hetens huvudsakliga uppgifter är att stödja och utveckla samhällets förmåga att förebygga och mildra effekterna av naturolyckor och stödja arbetet med säkerhet i samhällsplanering, anpassning till ett förändrat klimat och skydd av kritisk infrastruktur samt att höja förmågan att motstå störningar i samhällsviktig verksamhet. En- heten har ansvar för stöd och utveckling av samhällets systematiska säkerhets- och krishanteringsarbete särskilt i fråga om metodstöd till risk- och sårbarhetsanalyser, kontinuitetshantering och kritiska beroenden enligt förordningen (2006:942) om krisberedskap och höjd beredskap och lagen (2006:544) om kommuners och lands-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">97</P> </DIV> </DIV> <DIV id="page_98"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft10">tings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap.</P> <P class="p225 ft37">I arbetet med säkra kryptografiska funktioner för det civila samhället samordnar MSB arbetet med civila myndigheters signal- skyddsverksamhet och arbete med säkra kryptografiska funktioner. I denna uppgift ingår att vara kravställare gentemot Förvarsmakten vid utveckling av nya system. MSB är bemyndigad av regeringen i enlighet med 31§ förordningen (2006:942) om krisberedskap och höjd beredskap att besluta om vilka myndigheter som ska kunna kommunicera med kryptografiska funktioner, utöver de som regeringen har pekat ut i krisberedskapsförordningen. Dessutom kan MSB besluta om och ingå avtal med de kommuner, organisationer och företag som ska tilldelas säkra kryptografiska funktioner. MSB fattar årligen ett <NOBR>30-tal</NOBR> tilldelningsbeslut och har tilldelat cirka 160 olika organisationer säkra kryptografiska funktioner, till dessa räknas myndigheter, landsting, kommuner och privata företag. MSB:s beslut effektueras av Försvarets radioanstalt. Vidare föreskriver MSB genom MSBFS 2009:11 om den signalskyddsberedskap som gäller för de myndigheter och organisationer som tilldelats signalskydd.</P> <P class="p160 ft37">MSB deltar i internationella samarbeten som rör informations- och cybersäkerhet, t.ex. informationsdelning och samarbete mellan nordiska nationella <NOBR>CERT-funktioner</NOBR> och samarbete inom nätverket European Governmental CERTs (EGC), samt internationell samverkan kring säkerhet i <NOBR>it-produkter,</NOBR> säkerhet i industriella informations- och styrsystem, cybersäkerhet i finansiella tjänster och standardisering kopplad till informationssäkerhet (ISO). MSB deltar i <NOBR>EU-kommissionens</NOBR> expertgrupp European forum for member states (EFMS) och den <NOBR>privat-offentliga</NOBR> plattformen för nät- och informationssäkerhet <NOBR>(NIS-plattformen)</NOBR> samt representerar Sverige i Natos planeringsgrupp för industriella resurser och kommunikation (IRCSG).</P> <P class="p327 ft16"><SPAN class="ft16">6.1.2</SPAN><SPAN class="ft63">Post- och telestyrelsen (PTS)</SPAN></P> <P class="p254 ft8">Post- och telestyrelsen (PTS) är tillsynsmyndighet för lagen (2003:389) om elektronisk kommunikation, se avsnitt 5.2.6. Av 1 § förordningen (2007:951) med instruktion för Post- och tele-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">98</P> </DIV> </DIV> <DIV id="page_99"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p260 ft9">styrelsen framgår att PTS är en förvaltningsmyndighet med ett samlat ansvar inom postområdet och området för elektronisk kom- munikation. Myndigheten ska verka för att målen inom politiken för informationssamhället uppnås. Myndigheten ska även, inom ramen för sina uppgifter enligt lagen (2003:389) om elektronisk kommunikation, verka för att de mål som anges i denna lag uppnås.</P> <P class="p148 ft13">Myndigheten ska beskriva och analysera utveckling och resultat inom sitt ansvarsområde och rapportera detta till regeringen. Myndigheten ska särskilt uppmärksamma och analysera eventuella problem inom området och, när det är påkallat, vidta eller lämna förslag till lämpliga åtgärder. Myndigheten ska vidare regelbundet göra strategiska analyser inom området för elektronisk kom- munikation och redovisa den långsiktiga inriktningen av myndig- hetens tillämpning av regleringen på området.</P> <P class="p229 ft8">Det anges även i 4 § i förordningen (2007:951) med instruktion för Post- och <NOBR>tele-styrelsen</NOBR> att inom området för elektronisk kommunikation har PTS bl.a. till uppgift att</P> <P class="p328 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">främja tillgången till säkra och effektiva elektroniska kommuni- kationer, inbegripet att tillse att samhällsomfattande tjänster finns tillgängliga,</SPAN></P> <P class="p328 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">följa utvecklingen när det gäller säkerhet vid elektronisk kom- munikation,</SPAN></P> <P class="p329 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">pröva frågor om tillstånd och skyldigheter och utöva tillsyn enligt lagen (2003:389) om elektronisk kommunikation,</SPAN></P> <P class="p328 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">meddela föreskrifter enligt förordningen (2003:396) om elek- tronisk kommunikation,</SPAN></P> <P class="p328 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">utöva tillsyn enligt lagen (2000:832) om kvalificerade elektro- niska signaturer samt meddela föreskrifter enligt förordningen (2000:833) om kvalificerade elektroniska signaturer,</SPAN></P> <P class="p328 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">utöva tillsyn enligt lagen (2006:24) om nationella toppdomäner för Sverige på internet samt meddela föreskrifter enligt förord- ningen (2006:25) om nationella toppdomäner för Sverige på internet,</SPAN></P> <P class="p330 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">verka för robusta elektroniska kommunikationer och minska risken för störningar, inbegripet att upphandla förstärknings- åtgärder, samt verka för ökad krishanteringsförmåga,</SPAN></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">99</P> </DIV> </DIV> <DIV id="page_100"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p331 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">verka för ökad nät- och informationssäkerhet i fråga om elek- tronisk kommunikation, genom samverkan med myndigheter som har särskilda uppgifter inom </SPAN><NOBR>informationssäkerhets-,</NOBR> säker- hetsskydds- och integritetsskyddsområdet samt med andra berörda aktörer, och</P> <P class="p332 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">lämna råd och stöd till myndigheter, kommuner och landsting samt företag, organisationer och andra enskilda i frågor om nätsäkerhet (4 § 1, 7, 8, 9, 13, 14, 15, 16 och 17).</SPAN></P> <P class="p190 ft8">I 7 § förordningen anges att beträffande <NOBR>EU-arbetet</NOBR> och annat internationellt samarbete ska PTS</P> <P class="p333 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">vara det behöriga organ som får begära råd och stöd enligt Europaparlamentets och rådets förordning (EG) nr 526/2013 av den 21 maj 2013 om Europiska unionens byrå för nät- och in- formationssäkerhet (ENISA) och om upphävande av förord- ningen (EG) nr 460/2004, och</SPAN></P> <P class="p334 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">delta i arbetet i internationella organ i frågor som rör internets förvaltning genom att vid behov företräda Sverige i dessa organ och genom att bereda ärenden med intressenter på nationell nivå.</SPAN></P> <P class="p335 ft8">Av förordningen framgår även att PTS genom upphandling får stärka samhällets beredskap mot allvarliga störningar av elektronisk kommunikation i fred (8 § 4). Det anges också i 11 § förordningen att PTS ska verka för att företag och andra enskilda har förtroende för samt förmåga och möjlighet att använda it och elektroniska kommunikationstjänster (11 § andra stycket).</P> <P class="p270 ft8">I lagen (2003:89) om elektronisk kommunikation (LEK) finns bl.a. bestämmelser om säkerhet som gäller för den som tillhanda- håller ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst. Av 5 kap. 6 c § LEK framgår att den som tillhandahåller ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst utan onödigt dröjsmål ska rapportera störningar eller avbrott av betydande om- fattning till PTS.</P> <P class="p272 ft8">Det är Nätsäkerhetsavdelningen vid PTS som ansvarar för arbetet med robust kommunikation samt frågor kring säkerhet och integritet.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">100</P> </DIV> </DIV> <DIV id="page_101"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p336 ft8">PTS arbetar med informationssäkerhet i enlighet med sin instruktion och lagen om elektronisk kommunikation. PTS har bl.a. tagit fram en vägledning för användare om hur man kan anskaffa robust kommunikation. Råd lämnas bl.a. om hur man ställer adekvata krav vid anskaffningen och hur man identifierar kritiska funktioner genom en risk- och sårbarhetsanalys.</P> <P class="p119 ft16"><SPAN class="ft16">6.1.3</SPAN><SPAN class="ft63">Försvarsmakten</SPAN></P> <P class="p90 ft8">Försvarsmaktens övergripande ansvar är att upprätthålla och utveckla ett militärt försvar (1 § förordningen [2007:1266] med instruktion för Försvarsmakten). Enligt 2 § i instruktionen ska myndigheten kunna försvara Sverige och främja svensk säkerhet genom insatser nationellt och internationellt. Vidare ska Försvars- makten med myndighetens befintliga förmåga och resurser kunna lämna stöd till civil verksamhet. När det gäller stöd till civil verk- samhet m.m. se vidare lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekämpning, förordningen (2006:344) om Försvarsmaktens stöd till polisen vid terrorismbekämpning och förordningen (2002:375) om Försvarsmakens stöd till civil verk- samhet.</P> <P class="p59 ft9">Bland Försvarsmaktens verksamhetsuppgifter ingår att bedriva omvärldsbevakning och kunna upptäcka och identifiera yttre hot mot Sverige, svenska intressen och de insatser som Sverige deltar i (3 § första stycket förordningen med instruktion för Försvarsmakten).</P> <P class="p15 ft9">Försvarsmakten ska även bedriva försvarsunderrättelseverksam- het, leda och bedriva militär säkerhetstjänst, leda och samordna signalskyddstjänsten, inklusive arbetet med säkra kryptografiska funktioner som är avsedda att skydda skyddsvärd information, samt biträda Regeringskansliet i frågor som rör kryptoverksamhet och annan signalskyddsverksamhet (3 b § 1−4 förordningen med instruktion för Försvarsmakten).</P> <P class="p14 ft8">Försvarsmakten får meddela övriga statliga myndigheter före- skrifter i frågor om signalskyddstjänsten inklusive säkra kryptogra- fiska funktioner inom totalförsvaret, förutom i fråga om verk- ställigheten av 33 § förordningen (2006:942) om krisberedskap och höjd beredskap (33 § förordningen med instruktion för Försvars- makten).</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">101</P> </DIV> </DIV> <DIV id="page_102"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p230 ft37">Enligt 1 § lagen (2000:130) om försvarsunderrättelseverksamhet ska försvarsunderrättelseverksamhet bedrivas till stöd för svensk <NOBR>utrikes-,</NOBR> säkerhets- och försvarspolitik samt i övrigt för kartlägg- ning av yttre hot mot landet. Verksamheten får endast avse ut- ländska förhållanden. I lagen finns bestämmelser om försvarsunder- rättelseverksamhetens inriktning. Inom försvarsunderrättelse- verksamheten får det inte vidtas åtgärder som syftar till att lösa uppgifter som enligt lagar eller andra föreskrifter ligger inom ramen för polisens och andra myndigheters brottsbekämpande och brottsförebyggande verksamhet (4 §).</P> <P class="p337 ft8">Försvarsmakten har ansvar för kontroll av säkerhetsskyddet samt utfärdande av föreskrifter om verkställighet av säkerhetsskyddslagen för sitt tillsynsområde (39 § 1 säkerhetsskyddsförordningen [1996:633]).</P> <P class="p223 ft8">Försvarsmakten ansvarar för skydd av sina egna lednings- och informationssystem.</P> <P class="p232 ft9">Försvarsmakten ställer för strategiska kommunikationer opera- tiva krav vad avser robusthet, redundans, skydd och drift. Försvars- makten har genom Försvarets Telenät (FTN) lång erfarenhet av drift av ledningssystem. Utöver Försvarsmakten använder bl.a. av Riksdagen, Regeringskansliet, Polismyndigheten, FMV, FOI och FRA, MSB och PTS Försvarets Telenät.</P> <P class="p201 ft9">Försvarsmakten har påbörjat förberedelser för inrättandet av krigsförbandet Försvarsmaktens telekommunikations- och in- formationssystemförband (FMTIS) i insatsorganisationen. FMTIS ska ha hand om drift och övervakning av infrastruktur, drift av centrala <NOBR>it-system</NOBR> och etablerande av nya system. Förbandet ska bestå av Försvarsmaktens telenät- och markteleförband, Försvarsmaktens logistik och operativ ledningsteknisk bataljon. <NOBR>IT-försvarsförbandet</NOBR> med <NOBR>FM-CERT</NOBR> har hand om försvar av Försvarsmaktens it- infrastruktur och stödjer också systemdrift. Teknikkontor lednings- system tar fram systemlösningar. Vid Ledningsregementet med telekrigsbataljonen finns rörliga ledningsförband för telekrigföring.</P> <P class="p200 ft8">Juridiska staben vid Högkvarteret gjorde 2012 en studie beträf- fande de rättsliga förutsättningarna för Försvarsmaktens verksam- het i cyberområdet. Syftet med studien var att konkretisera cyber- området och skapa beslutsunderlag för att bättre inrikta förmåge- utvecklingen och öka effekten och rationaliteten inom Försvars- makten på cyberområdet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">102</P> </DIV> </DIV> <DIV id="page_103"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p287 ft8">Försvarsmakten deltar i internationella samarbeten som rör cyberförsvar och cybersäkerhet, t.ex. informationsdelning och samarbete mellan nordiska militära CERT:ar, multinationellt forum för harmonisering av planeringsmodeller inom cyberförsvar och förmågeutveckling enligt NATO standarder.</P> <P class="p148 ft9">Militära underrättelse- och säkerhetstjänsten (Must) vid Hög- kvarteret leder och ansvarar för Försvarsmaktens verksamhets- område underrättelse- och säkerhetstjänst. När det gäller under- rättelsetjänst hämtar Must på uppdrag av regeringen och ÖB in information som analyseras och delges som underrättelserapporter. Den militära säkerhetstjänsten bedrivs inom tre huvudområden. Säkerhetsunderrättelsetjänsten upptäcker, klarlägger och motverkar säkerhetshot som riktas mot Försvarsmakten och dess intressen inom och utom landet. Säkerhetsskyddstjänsten förebygger bl.a. att uppgifter som omfattas av sekretess och som rör rikets säkerhet inte röjs, och att endast personer som är pålitliga utifrån säkerhets- synpunkt deltar i verksamhet som har betydelse för rikets säkerhet. Bland säkerhetsskyddsåtgärder ingår att lämna stöd till andra myn- digheter inom området säkra kommunikationer. Signalskydds- tjänsten förhindrar att obehöriga får insyn i, eller kan påverka totalförsvarets telekommunikationer. Signalskydd omfattar även användning av krypton i <NOBR>it-system.</NOBR> Vid Musts Säkerhetskontor finns Säkerhetsunderrättelseavdelningen, Säkerhetsskyddsavdel- ningen och Avdelningen för Krypto och <NOBR>IT-säkerhet.</NOBR> Sistnämnda avdelning producerar och distribuerar kryptonycklar, aktiva kort och certifikat till totalförsvaret samt utövar rollen som CA (Certi- fication Authority). FMV upphandlar efter beställning från För- svarsmakten system (signalskydd och krypto) av industrin. Avdel- ningen deltar i projekten med kravställning, verifiering, bedömning och godkännande av signalskyddssystem och Krypto för Skydds- värda Uppgifter (KSU). Avdelningen stödjer Utrikesdepartementet i rollen som National Security Authority avseende NCSA (National Communications Security Authority) och tecknar med bemyndigande från Regeringskansliet <NOBR>COMSEC-avtal</NOBR> med andra länder och deltar i EU CSC(IA), avseende NDA (National Distri- bution Authority) med ansvar för kryptonyckelproduktion, distri- bution och materieluppföljning samt TA (Tempest Authority) med bedömningar och deltagande i EU ITTF. Avdelningen har vidare funktionen som AQUA (Appropriately Qualified Authority) dvs.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">103</P> </DIV> </DIV> <DIV id="page_104"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p338 ft13">godkänd andrapartsevaluerare av krypto inom EU. Avdelningen bidrar också med stöd vid export av svenska kryptosystem på upp- drag av Försvarsexportmyndigheten. Det finns i dag fem svenska kryptosystem som godkänts av Europeiska unionens råd.</P> <P class="p103 ft13">När det gäller <NOBR>it-säkerhet</NOBR> kravställer, verifierar, bedömer och godkänner avdelningen <NOBR>it-säkerhetsprodukter/mekanismer</NOBR> för För- svarsmakten. Avdelningen har hand om inriktningen av Försvars- maktens utveckling av <NOBR>it-system</NOBR> med avseende på <NOBR>it-säkerhet</NOBR> och signalskydd. Vidare stödjer avdelningen utvecklingen av <NOBR>it-system.</NOBR> Avdelningen bedömer och godkänner säkerhetsfunktioner för För- svarsmaktens <NOBR>it-system.</NOBR> Avdelningen har tagit fram Krav på Säkra Funktioner (KSF), i vilka specificeras de <NOBR>it-säkerhetsegenskaper</NOBR> som <NOBR>it-system</NOBR> i Försvarsmakten ska ha.</P> <P class="p103 ft38">Vid Försvarsmakten finns också Försvarsmaktens underrättelse- och säkerhetscentrum (FMUndSäkC). Centret tillgodoser För- svarsmaktens behov av kompetens, metodik, och teknik inom underrättelse- och säkerhetstjänst, samt inom språk.</P> <P class="p339 ft16"><SPAN class="ft16">6.1.4</SPAN><SPAN class="ft63">Försvarets materielverk (FMV)</SPAN></P> <P class="p340 ft9">Försvarets materielverk (FMV) ska på uppdrag av Försvarsmakten vidmakthålla, destruera och kassera varor samt upphandla byggentre- prenader, varor och tjänster. Myndigheten ska vidare på uppdrag av Försvarsmakten tillhandahålla logistik i form av service, <NOBR>förråds-,</NOBR> och verkstadstjänster. Myndigheten ska också biträda Försvarsmakten i materielförsörjnings- och logistikförsörjningsplanering samt med materialsystemkunskap (1 § förordningen [2007:854] med instruktion för Försvarets materielverk).</P> <P class="p72 ft8">FMV ska vara patentorgan för de myndigheter som hör till För- svarsdepartementet och handlägger ärenden som rör immaterial- rättsliga frågor.</P> <P class="p72 ft8">FMV får inom sitt verksamhetsområde även tillhandahålla tjänster åt andra än Försvarsmakten (6 §).</P> <P class="p103 ft38">Vid FMV finns ett certifieringsorgan som ska upprätta och driva en certifieringsordning för säkerhet i <NOBR>it-produkter</NOBR> och system (5 §). FMV ska verka för att uppnå och vidmakthålla internationellt erkännande för utfärdade certifikat. CSEC (Sveriges Certifierings- organ för <NOBR>it-säkerhet)</NOBR> ansvarar för certifiering av <NOBR>it-säkerhetspro-</NOBR></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">104</P> </DIV> </DIV> <DIV id="page_105"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p283 ft13">dukter inom ramen för den internationella standarden ISO/IEC IS 15408 (Common Criteria). Arbetet bedrivs inom ramen för CCRA (Common Criteria Recognition Arrangement) som bygger på ömsesidigt erkännande av certifikat utfärdade av i dag 26 medlems- länder. CSEC utfärdar även certifikat enligt <NOBR>EA-MLA</NOBR> (European Cooperation for Accreditation Multilateral Agreement) och enligt <NOBR>SOGIS-avtalet</NOBR> (SOGIS Mutual Recognition Agreement of In- formation Technology Security Evaluation Certificates). SOGIS (Senior Officials Group Information Systems Security) är en råd- givande funktion kopplad till <NOBR>EU-kommissionen.</NOBR> CSEC har vidare i enlighet med mål i handlingsplan för informationssäkerhet 2012 tagit fram en särskild kryptopolicy. CSEC är sedan 2008 ackredi- terat av Styrelsen för ackreditering och teknisk kontroll (Swedac).</P> <P class="p257 ft9">FMV bedriver verksamhet inom området för säkerhetsskydd vad avser anbudsgivare och leverantörer som har träffat säkerhets- skyddsavtal (41 § säkerhetskyddsförordningen [1996:633]).</P> <P class="p14 ft8">FMV bedriver också försvarsunderrättelseverksamhet enligt 2 § förordningen (2000:131) om försvarsunderrättelseverksamhet.</P> <P class="p243 ft16"><SPAN class="ft16">6.1.5</SPAN><SPAN class="ft63">Försvarets radioanstalt (FRA)</SPAN></P> <P class="p210 ft8">Försvarets radioanstalt har enligt förordningen (2007:937) med instruktion för Försvarets radioanstalt till uppgift att bedriva signalspaning (1 §). Myndigheten ska särskilt följa förändringen av signalmiljön i omvärlden, den tekniska utvecklingen och signal- skyddet, fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten, och utföra matematiska bedömningar av kryptosystem för totalförsvaret (2 §).</P> <P class="p14 ft8">Försvarets radioanstalt ska också biträda andra myndigheter vid värdering, utveckling, anskaffning och drift av signalspanings- system (3 §).</P> <P class="p15 ft9">Enligt 1 § enligt lagen (2000:130) om försvarsunderrättelseverk- samhet får den myndighet som regeringen bestämmer (signal- spaningsmyndigheten) inhämta signaler i elektronisk form vid signalspaning. Signalspaning i försvarsunderrättelseverksamhet får endast ske i de fall regeringen eller en myndighet som anges i 4 § närmare har bestämt inriktningen av signalspaningen.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">105</P> </DIV> </DIV> <DIV id="page_106"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p341 ft10">Signalspaning i försvarsunderrättelseverksamhet får ske endast i syfte att kartlägga</P> <P class="p342 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">yttre militära hot mot landet,</SPAN></P> <P class="p343 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">förutsättningar för svenskt deltagande i fredsfrämjande och humanitära internationella insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,</SPAN></P> <P class="p343 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen,</SPAN></P> <P class="p321 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd,</SPAN></P> <P class="p275 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">allvarliga yttre hot mot samhällets infrastrukturer,</SPAN></P> <P class="p343 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">konflikter utomlands med konsekvenser för internationell säkerhet,</SPAN></P> <P class="p214 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">främmande underrättelseverksamhet mot svenska intressen, eller</SPAN></P> <P class="p214 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">främmande makts agerande eller avsikter av väsentlig betydelse för svensk </SPAN><NOBR>utrikes-,</NOBR> säkerhets- eller försvarspolitik.</P> <P class="p252 ft37">I lagen (2000:130) om försvarsunderrättelseverksamhet finns bestäm- melser om internationellt samarbete på försvarsunderrättelseområdet. Signalspaningsmyndigheten får för den verksamhet som anges i 1 § tredje stycket lagen (2008:717) om signalspaning i försvarsunder- rättelseverksamhet, enligt regeringens närmare bestämmande, etablera och upprätthålla samarbete i signalspaningsfrågor med andra länder och internationella organisationer (9 § lagen (2008:717) om signal- spaning).</P> <P class="p344 ft9">Försvarets radioanstalt ska vidare enligt 4 § förordningen (2007:937) med instruktion för Försvarets radioanstalt ha hög teknisk kompetens inom informationssäkerhetsområdet. Myndig- heten får efter begäran stödja sådana statliga myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvars-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">106</P> </DIV> </DIV> <DIV id="page_107"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p145 ft8">politiskt avseende. Försvarets radioanstalt ska särskilt kunna stödja insatser vid nationella kriser med <NOBR>it-inslag,</NOBR> medverka till identifie- ringen av inblandade aktörer vid <NOBR>it-relaterade</NOBR> hot mot samhälls- viktiga system, genomföra <NOBR>it-säkerhetsanalyser,</NOBR> och ge annat tek- niskt stöd.</P> <P class="p153 ft8">Bland myndighetens tjänster ingår informationssäkerhets- analyser, stöd vid kvalificerade <NOBR>it-incidenter,</NOBR> forensisk analys, tek- nisk rådgivning och utbildning i <NOBR>it-säkerhet.</NOBR> Vid informations- säkerhetsanalyser kontrolleras sårbarheter i uppdragsgivarens it- system och en bild ges av vilka brister som behöver åtgärdas.</P> <P class="p153 ft8">Vid myndigheten finns en forsknings- och utvecklingsenhet med uppgift att metodiskt upptäcka och analysera sårbarheter i in- formationsmiljöer.</P> <P class="p153 ft8">Försvarets radioanstalt ska samverka med andra organisationer inom informationssäkerhetsområdet såväl inom som utom landet (4 § ). Myndigheten deltar både i bilaterala och multilaterala inter- nationella samarbeten för informationsdelning inom informations- och cybersäkerhetsområdet.</P> <P class="p204 ft9">Försvarets radioanstalt ska enligt sitt regleringsbrev upprätthålla kompetensen för de nationella behoven avseende kryptologi. Myndigheten utför via kryptologpoolen matematiska bedömningar av kryptosystem för totalförsvaret. Genom de matematiska bedöm- ningarna tillser Försvarets radioanstalt att kunskapen från myndig- hetens signalspaningsuppdrag kommer totalförsvaret till godo. Myndigheten stödjer även bland annat Utrikesdepartementet, ISP och Rikspolisstyrelsen med kryptologisk kompetens.</P> <P class="p148 ft37">Försvarets radioanstalt tillhandahåller av Försvarsmakten natio- nellt godkända kryptografiska funktioner till civila myndigheter och företag vilket gör det möjligt att utbyta sekretessbelagd in- formation. FRA har en nationellt godkänd kryptoverkstad samt är förvaltare av civil signalskyddsmateriel. Användarstöd kring regel- verk, teknik och övrig support lämnas dygnet runt. FRA är krypto- nyckel- och certifikatombud, samt ansvarar för att behovet av behörighetsgivande utbildningar inom den civila sektorn uppfylls. Försvarets radioanstalt fick den 14 april 2010 i uppdrag av regeringen att lämna förslag på hur ett tekniskt detekterings- och varningssystem för samhällsviktig verksamhet och kritisk infra- struktur (TDV) kan utformas och införas (Fö2010/703/SSK). Uppdraget redovisades i en rapport i mars 2011. – Myndigheten för</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">107</P> </DIV> </DIV> <DIV id="page_108"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p345 ft9">samhällsskydd och beredskap (MSB) fick samtidigt i uppdrag att lämna förslag på vilka aktörer som bör komma i fråga för att delta i ett sådant system. MSB redovisade uppdraget i en rapport i mars 2011. – I rapporten föreslogs att de myndigheter som har ett sär- skilt ansvar vad gäller krisberedskap och höjd beredskap erbjuds att delta i ett nationellt detekterings- och varningssystem. I en senare fas borde även andra aktörer, såsom landsting och kommuner, erbjudas att få ansluta sig. Även ägare av samhällsviktig verksamhet och kritisk infrastruktur föreslogs delta i ett senare skede.</P> <P class="p232 ft37">Försvarets radioanstalt fick den 10 november 2011 (Fö2011/1681/SSK) i uppdrag av regeringen att komma in med ett kompletterande underlag avseende föreslaget system och att utarbeta en pilotversion av systemet. Uppdraget redovisades i april 2012. Försvarets radioanstalt föreslog i rapporten att föreslaget <NOBR>TDV-system</NOBR> med varnande och skyddande sensorer bör placeras hos särskilt skyddsvärd verksamhet med behov av ett förstärkt skydd mot underrättelsehot från kvalificerade aktörer. Pilotverk- samheten visade att det tekniska konceptet med varnande sensor fungerade, medan systemet med skyddande sensorer behövde vidareutvecklas genom ytterligare försöksverksamhet. Enligt För- svarets radioanstalt borde framtagande och utplacering av ett TDV- system inledningsvis ske i begränsad skala och rutiner, teknikstöd samt arbets- och samverkansformer utvecklas efter hand. För- svarets radioanstalt föreslog också att det inrättades ett nationellt cyberråd med företrädare för berörda departement och eventuellt myndigheter, industri samt universitet och högskolor.</P> <P class="p346 ft8">I dag pågår verksamheten med ett begränsat antal anslutna aktö- rer. Förslagen i rapporten bereds inom Regeringskansliet.</P> <P class="p232 ft9">I FRA:s instruktion anges att myndigheten ska medverka till identifieringen av inblandade aktörer vid <NOBR>it-relaterade</NOBR> hot mot samhällsviktiga system. De kvalificerade aktörer som FRA följer inom underrättelseverksamheten anges i regeringens årliga inriktning.</P> <P class="p223 ft8">De kvalificerade aktörerna utgörs i huvudsak av statsunder- stödda aktörer och som utgör hot mot de mest skyddsvärda verk- samheterna.</P> <P class="p276 ft8">Därutöver får FRA kunskap om hotbilden mot svenska verk- samheter genom TDV. <NOBR>TDV-system</NOBR> bygger på nära koppling mellan signalunderrättelseverksamhet inriktad mot <NOBR>it-hot</NOBR> och tek- nisk informationssäkerhet och har goda möjligheter att förstärka</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">108</P> </DIV> </DIV> <DIV id="page_109"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p66 ft8">skyddet för de verksamheter som omfattas av ett <NOBR>TDV-system.</NOBR> Kopplat till hotbilden får FRA även kunskap om sårbarheter i it- system hos de statliga myndigheter och bolag där FRA genomför <NOBR>it-säkerhetsanalyser.</NOBR></P> <P class="p119 ft16"><SPAN class="ft16">6.1.6</SPAN><SPAN class="ft63">Polismyndigheten</SPAN></P> <P class="p90 ft8">Den 1 januari 2015 ombildades Polisen från 21 fristående polis- myndigheter, Rikspolisstyrelsen och Statens kriminaltekniska laboratorium till en Polismyndighet. Vid samma tidpunkt ombildas Säkerhetspolisen till en fristående myndighet.</P> <P class="p13 ft8">Polismyndigheten är en enrådighetsmyndighet med ett natio- nellt insynsråd samt ett regionpolisråd i varje polisregion.</P> <P class="p13 ft8">Av 1 § polislagen (1984:387) framgår att Polismyndighetens arbete syftar till att upprätthålla allmän ordning och säkerhet samt att i övrigt tillförsäkra allmänheten skydd och annan hjälp.</P> <P class="p14 ft8">Av 2 § polislagen (1984:387) framgår att det till Polismyndig- hetens uppgifter hör att</P> <P class="p106 ft8"><SPAN class="ft12">1.</SPAN><SPAN class="ft83">förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten,</SPAN></P> <P class="p108 ft10"><SPAN class="ft12">2.</SPAN><SPAN class="ft79">övervaka den allmänna ordningen och säkerheten och ingripa när störningar har inträffat,</SPAN></P> <P class="p46 ft10"><SPAN class="ft12">3.</SPAN><SPAN class="ft79">utreda och beivra brott som hör under allmänt åtal,</SPAN></P> <P class="p108 ft10"><SPAN class="ft12">4.</SPAN><SPAN class="ft79">lämna allmänheten skydd, upplysningar och annan hjälp, när sådant bistånd lämpligen kan ges av polisen,</SPAN></P> <P class="p189 ft8"><SPAN class="ft12">5.</SPAN><SPAN class="ft83">fullgöra den verksamhet som ankommer på Polismyndigheten enligt särskilda bestämmelser.</SPAN></P> <P class="p78 ft9">Av 2 b § polislagen (1984:387) framgår att det vid Polismyndigheten ska finnas en avdelning som på nationell nivå leder och samordnar viss polisverksamhet (Nationella operativa avdelningen).</P> <P class="p257 ft9">Den nationella operativa enheten består av flera enheter varav en utredningsenhet. Vid utredningsenheten finns <NOBR>it-brottssektionen.</NOBR></P> <P class="p15 ft38">Den 4 juli 2014 fattades beslut (Ju 2012:16/2013/4) av Genom- förandekommittén för nya Polismyndigheten att dåvarande Riks-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">109</P> </DIV> </DIV> <DIV id="page_110"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p347 ft9">kriminalpolisen skulle säkerställa ett inrättande av ett <NOBR>it-brottscentrum</NOBR> vid den nationella operativa enheten i den nya Polismyndigheten.</P> <P class="p126 ft16"><SPAN class="ft16">6.1.7</SPAN><SPAN class="ft63">Säkerhetspolisen</SPAN></P> <P class="p102 ft8">Av förordningen (2014:1103) med instruktion för Säkerhetspolisen framgår att Säkerhetspolisen i egenskap av säkerhetstjänst bedriver underrättelse- och säkerhetsarbete och att Säkerhetspolisens huvudsakliga uppgifter och ansvar framgår av 3 § polislagen (1984:387). Av denna bestämmelse framgår att det till Säker- hetspolisens uppgifter hör att</P> <P class="p213 ft8"><SPAN class="ft12">1.</SPAN><SPAN class="ft77">förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott,</SPAN></P> <P class="p212 ft10"><SPAN class="ft12">2.</SPAN><SPAN class="ft78">utreda och beivra sådana brott som anges i 1 eller som följer av 5,</SPAN></P> <P class="p214 ft8"><SPAN class="ft12">3.</SPAN><SPAN class="ft77">fullgöra uppgifter i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,</SPAN></P> <P class="p212 ft10"><SPAN class="ft12">4.</SPAN><SPAN class="ft78">fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),</SPAN></P> <P class="p214 ft8"><SPAN class="ft12">5.</SPAN><SPAN class="ft77">leda annan polisverksamhet om regeringen föreskriver det och i övrigt bedriva sådan verksamhet som framgår av lag eller för- ordning eller som regeringen uppdragit åt Säkerhetspolisen att i särskilda hänseenden ansvara för.</SPAN></P> <P class="p348 ft13">Enligt 6 § i instruktionen får Säkerhetspolisen, utöver vad som följer av 47 § säkerhetsskyddsförordningen (1996:633) ge råd om säkerhetsskydd. Säkerhetspolisen får även i övrigt ge råd för att förebygga brott mot rikets säkerhet och andra särskilt viktiga samhällsintressen. Av 7 § framgår att Säkerhetspolisen efter med- givande av regeringen i ett särskilt fall får bedriva uppdragsverk- samhet när det gäller säkerhetsskydd och annat säkerhetsarbete.</P> <P class="p103 ft9">När det gäller informationssäkerhet arbetar Säkerhetspolisen med att förebygga brottsliga handlingar i form av spionage som sker genom s.k. elektroniska angrepp. Arbetet består i första hand av säkerhetsskyddsåtgärder och utredning av särskilt skyddsvärda verksamheter. Vidare arbetar Säkerhetspolisen med att förebygga allvarliga elektroniska angrepp riktade mot samhällsviktiga <NOBR>it-system.</NOBR></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">110</P> </DIV> </DIV> <DIV id="page_111"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p283 ft8">Säkerhetspolisen analyserar och utreder också allvarliga elektroniska angrepp mot samhällsviktiga verksamheter. Vidare utövar Säkerhets- polisen tillsyn enligt säkerhetsskyddslagen (1996:627), varvid till- synen bl.a. kan avse informationssäkerhet.</P> <P class="p119 ft33"><SPAN class="ft33">6.2</SPAN><SPAN class="ft48">Andra statliga myndigheter och affärsverk</SPAN></P> <P class="p278 ft16"><SPAN class="ft16">6.2.1</SPAN><SPAN class="ft63">Datainspektionen</SPAN></P> <P class="p90 ft8">Datainspektionen har enligt 1 § förordningen (2007:975) med in- struktion för Datainspektionen i uppgift att verka för att män- niskor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Myndigheten ska särskilt inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud. Myndigheten ska följa och beskriva utvecklingen på <NOBR>it-området</NOBR> när det gäller frågor som rör integritet och ny teknik.</P> <P class="p15 ft9">Datainspektionen är tillsynsmyndighet enligt personuppgifts- lagen (1998:204) och lagen (2007:259) om behandling av person- uppgifter i Försvarets radioanstalts försvarsunderrättelse- och ut- vecklingsverksamhet. Myndigheten är också Sveriges nationella till- synsmyndighet för behandling av personuppgifter enligt Schengen- konventionen, konventionen om EU:s tullinformationssystem samt rådsbeslutet om inrättandet av Europeiska polisbyrån (Europol).</P> <P class="p58 ft8"><NOBR>It-säkerhet</NOBR> utgör ett viktigt område för Datainspektionens arbete. Det är myndighetens uppgift att upptäcka och påtala brister och att informera om hur personuppgifter bör skyddas på lämpligt sätt på internet. Myndigheten har bl.a. tagit fram en vägledning om inbyggd integritet i <NOBR>it-system</NOBR> för skydd av den personliga inte- griteten och en vägledning som tydliggör vilka krav som person- uppgiftslagen ställer vid användning av molntjänster. Myndigheten har 2011 inom ramen för ett särskilt projekt granskat användningen av molntjänster och har även i sin tillsynsverksamhet enligt person- uppgiftslagen uppmärksammat brister vid användning av sådana tjänster.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">111</P> </DIV> </DIV> <DIV id="page_112"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p349 ft16"><SPAN class="ft16">6.2.2</SPAN><SPAN class="ft63">Styrelsen för ackreditering och teknisk kontroll (SWEDAC)</SPAN></P> <P class="p350 ft8">Styrelsen för ackreditering och teknisk kontroll (SWEDAC) ansvarar bl.a. för frågor om teknisk kontroll, inklusive ackredite- ring och frågor i övrigt om bedömning av överensstämmelse (1 § förordningen [2009:895] med instruktion för Styrelsen för ackredi- tering och teknisk kontroll).</P> <P class="p231 ft8">Vid SWEDAC finns en rådgivande teknisk kommitté inom ackrediteringsområdet certifiering, informationssäkerhet och it- säkerhet.</P> <P class="p238 ft13">Ackreditering är ett formellt erkännande av att ett företag eller en organisation har kompetens att utföra vissa specificerade upp- gifter inom provning, kontroll och certifiering. Ackreditering inne- bär att SWEDAC regelbundet och oberoende granskar kompetens och arbetsrutiner hos det organ som är ackrediterat. Granskningen görs mot krav som finns i bestämda standarder och olika myndig- heters föreskrifter. Ackreditering är obligatorisk inom vissa om- råden. Inom andra områden är ackreditering frivillig, men kan då fungera som en kvalitetsstämpel. Certifiering innebär att en organi- sation, produkt eller person bedöms uppfylla särskilda krav som ställs i standarder eller andra normerande dokument. Certifiering utförs beroende på område utan eller under ackreditering. Statistik från den internationella standardiseringsorganisationen ISO för 2012 visar att certifieringar mot standarder för ledningssystem fortsätter att öka. Certifiering enligt standarden för informations- säkerhet, ISO/IEC 27001, ökade med 13 procent till 19 577 certifi- kat utfärdade i 103 länder. (Japan 7 199, Storbritannien 1 701, Indien 1 600 och Sverige 32). Störst ökning av antal certifikat finns i Rumänien, Japan och Kina.</P> <P class="p201 ft13">Certifieringsorgan som är ackrediterade av SWEDAC utför certifiering enligt följande standarder <NOBR>SS-ISO/IEC</NOBR> 27001 vad avser ledningssystem för informationssäkerhet och ISO/IEC 15408:2005 Information technology – Security techniques – Evaluation criteria for IT security, Common criteria 2.3 och Common criteria 3.1 vad avser produkter och processer. SWEDAC ackrediterar också certi- fieringsorgan för certifiering av Informationssäkerhetsspecialist, Nationell certifieringsordning för personcertifiering inom Inform-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">112</P> </DIV> </DIV> <DIV id="page_113"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p163 ft10">ationssäkerhet 5.0, Information Security Management Professional (ISMP).</P> <P class="p164 ft38">SWEDAC har utgett en vägledning för informationssäkerhets- arbete (SWEDAC DOC 10:5, <NOBR>2010-09-22,</NOBR> utgåva 1). Syftet är att ge ackrediterade verksamheter och verksamheter som söker ackredi- tering vägledning vid förbättring av informationssäkerhet och om de krav som ställs vid bedömning av informationssäkerhet.</P> <P class="p240 ft16"><SPAN class="ft16">6.2.3</SPAN><SPAN class="ft63">Svenska kraftnät</SPAN></P> <P class="p256 ft8">Det statliga Affärsverket svenska kraftnät (Svenska kraftnät) har enligt 1 § förordningen (2007:1119) med instruktion för Affärs- verket svenska kraftnät till uppgift att på ett affärsmässigt sätt förvalta, driva och utveckla ett kostnadseffektivt, driftsäkert och miljöanpassat kraftöverföringssystem, sälja överföringskapacitet samt i övrigt bedriva verksamheter som är anknutna till kraftöver- föringssystemet. Enligt 2 § är Svenska kraftnät systemansvarig myndighet enligt <A href="http://www.notisum.se/rnp/sls/lag/19970857.htm#K8P1">8 kap. 1 § </A>ellagen <A href="http://www.notisum.se/rnp/sls/lag/19970857.htm">(1997:857) </A>och <A href="http://www.notisum.se/rnp/sls/lag/19941806.htm#P1">1 § </A>förord- ningen <A href="http://www.notisum.se/rnp/sls/lag/19941806.htm">(1994:1806) </A>om systemansvaret för el samt elberedskaps- myndighet enligt elberedskapslagen <A href="http://www.notisum.se/rnp/sls/lag/19970288.htm">(1997:288)</A>.</P> <P class="p59 ft9">Enligt 3 § har Svenska kraftnät bl.a. i uppgift att svara för tillsyn i frågor om driftsäkerhet hos det nationella elsystemet enligt el- lagen (1997:857) och förordningen (1994:1806) om systemansvaret för el, svara för beredskapsplaneringen inom sitt verksamhets- område under kris- eller krigsförhållanden, främja dammsäkerheten i landet, bygga ut, installera och förvalta ledningar för elektronisk kommunikation, vartannat år genomföra och, efter att ha hört Statens energimyndighet, till Myndigheten för samhällsskydd och beredskap redovisa ett identifieringsarbete av potentiella euro- peiska kritiska infrastrukturer inom undersektorn el enligt rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedöm- ning av behovet att stärka skyddet av denna.</P> <P class="p15 ft37">Av 4 § följer att det i krig eller när regeringen annars bestämmer är Svenska kraftnäts uppgift att i samverkan med övriga totalför- svarsmyndigheter tillgodose samhällets behov av elkraft genom att planera, leda och samordna elförsörjningens resurser.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">113</P> </DIV> </DIV> <DIV id="page_114"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p351 ft8">Vid Svenska kraftnät finns ett råd som har insyn i verksamheten med elberedskap (insynsråd). Rådet har till uppgift att bevaka det övriga totalförsvarets och elföretagens intressen i frågor om el- beredskap. Vidare finns ett råd som biträder affärsverket i arbetet med dammsäkerhetsfrågor (Dammsäkerhetsrådet). Rådet är ett in- formations- och samrådsorgan för frågor relaterade till dammsäker- het.</P> <P class="p206 ft16"><SPAN class="ft16">6.2.4</SPAN><SPAN class="ft63">Totalförsvarets forskningsinstitut</SPAN></P> <P class="p254 ft8">Totalförsvarets forskningsinstitut (FOI) har enligt 1 § förord- ningen (2007:861) till uppgift att bedriva forskning, metod- och teknikutveckling samt utredningsarbete för totalförsvaret och till stöd för nedrustning, <NOBR>icke-spridning</NOBR> och internationell säkerhet. Myndigheten får även i övrigt bedriva forskning, metod- och tek- nikutveckling samt utredningsarbete. Myndigheten ska verka för att försvarsforskningen nyttiggörs även utanför totalförsvaret.</P> <P class="p72 ft8">Myndigheten ska särskilt verka för samverkan mellan militär och civil forskning samt mellan nationell och internationell forsk- ning (3 §).</P> <P class="p110 ft10">FOI bedriver vidare försvarsunderrättelseverksamhet (2 § för- ordningen [2000:131] om försvarsunderrättelseverksamhet).</P> <P class="p352 ft8">Försvarsmakten och Försvarets materielverk är myndighetens huvudkunder, men myndigheten utför även uppdrag för bl.a. civila myndigheter och näringslivet.</P> <P class="p103 ft13">Vid FOI bedrivs forskning om bl.a. <NOBR>it-säkerhet,</NOBR> sociala aspekter av informationssäkerhet, riskbedömning och metoder för övning av försvar av <NOBR>it-system</NOBR> och <NOBR>människa-system-interaktion,</NOBR> värdering av informationssäkerhet och utveckling av försvar av <NOBR>it-system.</NOBR> Vid FOI anordnas även kurser i <NOBR>it-säkerhet</NOBR> och säkerhet i industriella styrsystem. Myndigheten koordinerar t.ex. forskningsprogrammet Security Culture and Information Technology (SECURIT), som finansieras av MSB och har som mål att förbättra organisationers informationssäkerhet. FOI och MSB har tillsammans även byggt upp Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet (NCS3).</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">114</P> </DIV> </DIV> <DIV id="page_115"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p249 ft16"><SPAN class="ft16">6.2.5</SPAN><SPAN class="ft63">Statens inspektion för försvarsunderrättelseverksamheten</SPAN></P> <P class="p210 ft9">Statens inspektion för försvarsunderrättelseverksamheten (Siun) är den myndighet som har till uppgift att kontrollera att den försvars- underrättelseverksamhet som bedrivs av <SPAN class="ft14">Försvarsmakten, Försvarets radioanstalt, Försvarets materielverk </SPAN>och <SPAN class="ft14">Totalförsvarets forsk- ningsinstitut </SPAN>sker i enlighet med det av riksdagen och regeringen fastställda regelverket (1 § förordningen [2009:969] med instruk- tion för Statens inspektion för försvarsunderrättelseverksamheten).</P> <P class="p243 ft16"><SPAN class="ft16">6.2.6</SPAN><SPAN class="ft63">Socialstyrelsen</SPAN></P> <P class="p132 ft8">Socialstyrelsen är förvaltningsmyndighet för verksamhet som rör hälso- och sjukvård och annan medicinsk verksamhet, tandvård, smittskydd, socialtjänst, stöd och service till vissa funktions- hindrade samt frågor om alkohol och missbruksmedel (1 § förord- ningen [2009:1243] med instruktion för Socialstyrelsen). Myndig- heten ansvarar för föreskrifter och allmänna råd inom sitt verk- samhetsområde (4 §).</P> <P class="p59 ft9">Socialstyrelsen får efter samråd med Datainspektionen meddela föreskrifter som behövs för verkställigheten av patientdatalagen (2008:360) i fråga om säkerhetsåtgärder vid helt eller delvis auto- matiserad behandling av personuppgifter (3 § patientdataförord- ningen [2008:360]). Föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14) innehåller bl.a. bestämmelser om ansvar för informationssäkerhet och krav på informationssäkerhetspolicy. Myndigheten har utarbetat en hand- bok – ett stöd för vårdgivare, verksamhetschefer, medicinskt ansva- riga sjuksköterskor och hälso- och sjukvårdspersonal som ska tillämpa nämnda föreskrifter.</P> <P class="p14 ft8">Socialstyrelsen har också efter särskilt regeringsuppdrag i projektet Nationell Informationsstruktur i april 2010 publicerat delrapporten Informationssäkerhet, Vägledning för hantering av information inom vård och omsorg.</P> <P class="p13 ft8">Myndigheten har ett nationellt ansvar för att samordna arbetet för en ändamålsenlig och strukturerad dokumentation i svensk hälso- och sjukvård och socialtjänst. Detta arbete är en del av Nationell eHälsa – strategin för tillgänglig och säker information inom vård och omsorg.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">115</P> </DIV> </DIV> <DIV id="page_116"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p178 ft16"><SPAN class="ft16">6.2.7</SPAN><SPAN class="ft63">Länsstyrelserna</SPAN></P> <P class="p96 ft37">Länsstyrelsen svarar för den statliga förvaltningen i länet i den ut- sträckning inte någon annan myndighet har ansvaret för särskilda förvaltningsuppgifter (1 § förordningen [2007:825] med länssty- relseinstruktion). Länsstyrelsen ska utifrån ett statligt helhetspers- pektiv arbeta sektorövergripande och inom myndighetens ansvars- område samordna olika samhällsintressen och statliga myndig- heters insatser (2 §). Länsstyrelsen har bl.a. uppgifter i fråga om skydd mot olyckor, krisberedskap och civilt försvar (3 § 8). Genom sin verksamhet ska länsstyrelsen minska sårbarheten i samhället, bevaka att risk- och beredskapshänsyn tas i samhällsplaneringen samt utveckla en god förmåga att hantera sina uppgifter under fredstida krissituationer och höjd beredskap (52 §). Länsstyrelsen ska ha en tjänsteman i beredskap med uppgift att initiera och sam- ordna det inledande arbetet för att upptäcka, verifiera, larma och informera vid allvarliga kriser som berör länet (53 §). Länsstyrelsen ska ha förmåga att vid en allvarlig kris, som berör länet eller medför behov av samverkan med kommuner eller andra aktörer, omgående kunna upprätta en ledningsfunktion för bl.a. samordning och in- formation. Länsstyrelsen ska avseende krisberedskap vara samman- hållande inom sitt geografiska område och före, under och efter en kris verka för samordning och gemensam inriktning av de åtgärder som behöver vidtas (54 §). Länsstyrelsen ska särskilt</P> <P class="p353 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">ansvara för att en samlad regional lägesbild sammanställs vid krissituationer,</SPAN></P> <P class="p354 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">stödja de aktörer som är ansvariga för krisberedskapen i länet avseende planering, risk- och sårbarhetsanalyser samt utbildning och övning,</SPAN></P> <P class="p355 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">ha ett regionalt råd för skydd mot olyckor och krisberedskap, i vilket representanter för länsstyrelsen och berörda aktörer i krishanteringssystemet bör ingå, för att skapa nödvändig samordning,</SPAN></P> <P class="p356 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">upprätta regionala risk- och sårbarhetsanalyser som ska kunna användas som underlag för egna och andra berörda aktörers krisberedskapsåtgärder,</SPAN></P> </DIV> <DIV id="id_3"> <P class="p4 ft20">116</P> </DIV> </DIV> <DIV id="page_117"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p115 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">följa upp kommunernas tillämpning av lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,</SPAN></P> <P class="p108 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">årligen rapportera till MSB vilka beredskapsförberedelser som kommuner och landsting vidtagit och samtidigt redovisa en bedömning av effekten av de vidtagna förberedelserna, och</SPAN></P> <P class="p357 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">verka för att den verksamhet som berörda aktörer bedriver inom länet avseende krisberedskap bidrar till att en grundläggande förmåga till civilt försvar uppnås.</SPAN></P> <P class="p358 ft37">Länsstyrelsen ska enligt 7 § förordningen (2006:942) om krisbered- skap och höjd beredskap inom sitt geografiska område i fråga om</P> <P class="p359 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">situationer som uppstår hastigt, oväntat och utan förvarning, eller en situation där det finns ett hot eller en risk att ett sådant läge kan uppstå, och</SPAN></P> <P class="p189 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">situationer som kräver brådskande beslut och samverkan med andra aktörer</SPAN></P> <P class="p133 ft8">vara en sammanhållande funktion mellan lokala aktörer, som exem- pelvis kommuner, landsting och näringsliv, och den nationella nivån, samt verka för att:</P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">regionala </SPAN><NOBR>risk-,</NOBR> och sårbarhetsanalyser sammanställs,</P> <P class="p107 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">nödvändig samverkan inom länet och med närliggande län kon- tinuerligt,</SPAN></P> <P class="p187 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">under en kris samordna verksamhet mellan kommuner, lands- ting och myndigheter,</SPAN></P> <P class="p108 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">information till allmänheten och företrädare för massmedia under sådana förhållanden samordnas, och efter beslut av rege- ringen prioritera och inrikta statliga och internationella resurser som ställs till förfogande.</SPAN></P> <P class="p83 ft38">Informationssäkerhet och är en av flera indikatorer enligt föreskrif- ter meddelade av MSB (MSBFS 2010:6) på krishanteringsförmåga. Informationssäkerhet och säkerhet och robusthet i samhällsviktig infrastruktur är två av flera indikatorer på förmåga i samhällsviktig verksamhet att motstå allvarliga störningar.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">117</P> </DIV> </DIV> <DIV id="page_118"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p339 ft16"><SPAN class="ft16">6.2.8</SPAN><NOBR><SPAN class="ft63">E-hälsomyndigheten</SPAN></NOBR></P> <P class="p102 ft8"><NOBR>E-hälsomyndigheten</NOBR> har enligt 1 § förordningen (2013:1031) med instruktion för <NOBR>E-hälsomyndigheten)</NOBR> i uppgift att ansvara för register och <NOBR>it-funktioner</NOBR> som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering. Myndigheten ska vidare samordna regeringen satsningar på <NOBR>e-hälsa</NOBR> samt övergripande följa utvecklingen på e- hälsoområdet. <NOBR>E-hälsomyndigheten</NOBR> fortsätter det utvecklingsarbete som påbörjades av det statliga bolaget Apotekens Service. Arbetet vid myndigheten ska garantera en tillgänglig och säker nationell teknisk infrastruktur som kan fungera för hela <NOBR>hälso-,</NOBR> vård- och omsorgssektorn. <NOBR>E-hälsomyndigheten</NOBR> deltar i ett arbete med en federativ infrastrukturlösning för hela den aktuella sektorn, Samverkan för behörighet och identitet inom hälsa, vård och omsorg (Sambi).</P> <P class="p206 ft16"><SPAN class="ft16">6.2.9</SPAN><SPAN class="ft63">Finansinspektionen</SPAN></P> <P class="p340 ft37">Finansinspektionen ansvarar bl.a. för tillsynen, regelgivningen och tillståndsprövningen som rör finansiella marknader och finansiella företag (1 § 1 förordningen [2009:93] med instruktion för Finans- inspektionen). Myndigheten har särskilt ansvar för samverkans- området ekonomisk säkerhet enligt förordningen (2006:942) om krisberedskap och höjd beredskap och ska samverka med Riks- banken och MSB i frågor som rör krisberedskap (6 §). Finans- inspektionen har med stöd av 5 kap. 2 § 4 förordningen (2004:329) om bank- och finansieringsrörelse samt 6 kap. 1 § 9−12 och 29 för- ordningen (2007:572) om värdepappersmarknaden meddelat före- skrifter om informationssäkerhet, <NOBR>it-verksamhet</NOBR> och insättnings- system (FFFS 2014:5).</P> <P class="p327 ft16"><SPAN class="ft16">6.2.10</SPAN><SPAN class="ft84">Kammarkollegiet</SPAN></P> <P class="p159 ft8">Kammarkollegiet har till uppgift att tillhandahålla service inom det statliga området, främst avseende ekonomi, juridik, kapitalförvalt- ning, riskhantering och administration (1 § förordningen [2007:824] med instruktion för Kammarkollegiet). Efter överens-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">118</P> </DIV> </DIV> <DIV id="page_119"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p283 ft13">kommelse kan myndigheten för statliga myndigheter och stiftelser med statlig anknytning bl.a. tillhandahålla metoder för riskhante- ring och övrigt biträde i myndigheternas riskhantering (7 § första stycket 4). Myndigheten ska ansvara för att upphandla samordnade ramavtal som är avsedda för andra statliga myndigheter (8 a §). Inom området informationsteknik gäller ansvaret den offentliga förvaltningen. Myndigheten ska verka för att bästa möjliga villkor skapas för myndigheternas anskaffning av varor och tjänster. Inom området informationsteknik ska myndigheten särskilt beakta förvaltningsgemensamma standarder samt intresset av innovationer och teknikneutrala lösningar.</P> <P class="p15 ft9">Vid Statens inköpscentral finns enheten för <NOBR>it-upphandling.</NOBR> Det finns ramavtal gällande <NOBR>E-förvaltningsstödjande</NOBR> tjänster, olika it- drifts- och konsulttjänster samt <NOBR>it-utbildning.</NOBR> Bland tjänsterna i ramavtal finns Säkerhetsarbete <NOBR>e-förvaltning.</NOBR> Bland ramavtal gällande programvaror och licenser finns t.ex. kontorsstöd som molntjänst.</P> <P class="p14 ft8">Försäkringsavdelningen erbjuder försäkringsskydd för staten och lämnar biträde åt statliga myndigheter i riskhanteringsfrågor. Det erbjuds stöd och utbildning för att underlätta myndigheternas riskhanteringsarbete. Metodstöd utformas utifrån ett verksamhets- perspektiv och anpassas till varje myndighets behov. Avdelningen har tagit fram mallar för olika typer av checklistor. I checklistorna finns frågor om bl.a. informationshantering och informations- säkerhet.</P> <P class="p243 ft16"><SPAN class="ft16">6.2.11</SPAN><SPAN class="ft84">Försvarshögskolan</SPAN></P> <P class="p210 ft13">Vid Försvarshögskolan (FHS) bedrivs utbildning och forskning som rör informationssäkerhet vid flera enheter. I förordningen (2007:1164) för Försvarshögskolan anges vilken högskoleutbild- ning som bedrivs. Högskolan får även på uppdrag av MSB eller annan uppdragsgivare anordna annan utbildning. Bland upp- dragsutbildningar finns utbildningar som rör informationssäkerhet.</P> <P class="p14 ft8">Vid Institutionen för säkerhet, strategi och ledarskap (ISSL) finns CATS – Centrum för assymmetriska hot och terrorism- studier. Vid centret bedrivs bl.a. utbildning och forskning/studier kring policys rörande informations- och cybersäkerhet samt inom området informationsoperationer.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">119</P> </DIV> </DIV> <DIV id="page_120"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p360 ft9">Vidare har centret under flera år bedrivit utveckling samt deltagit i tekniska cyberförsvarsövningar, s.k. Cyber Defence Exercises (CDX). Centret har bedrivit studier i övningsmetodik för CDX. Detta har bl.a. resulterat i produktion av den första övningshand- boken inom området, vilken även har översatts till engelska för att kunna möta efterfrågan från internationella samarbetspartners.</P> <P class="p223 ft8">CATS har sedan 2008 haft ett samarbete med Estland och Natos Cooperative Cyber Defence Centre of Excellence (CCD CoE) i Tallinn. Tidigare avtalssamarbete med två technical agreements (TA) har reglerat verksamhet avseende deltagande i och utveckling av den årligen återkommande övningen Locked Shields (tidigare Baltic Cyber Shield) samt utveckling av Chief Information Assu- rance <NOBR>Officer-utbilningen</NOBR> (CIAO).</P> <P class="p223 ft8">CATS genomför <NOBR>CIAO-utbildning</NOBR> som utvecklats i samverkan med MSB, PTS och FRA. Syftet med kursen är att öka förmågan på informationssäkerhetsområdet inom myndigheter, organisationer och privata aktörer knutna till samhällsviktiga system och funk- tioner. Syftet med utbildningen är att möta samhällsviktiga företags och myndigheters behov av en funktion som kan hantera de möjligheter och risker som följer av att informationsflödet ökar i omfattning och komplexitet, som exempelvis frågan om hur de operativa kraven kan balanseras mot de alltmer omfattande säker- hetskraven.</P> <P class="p201 ft13">Kursen riktar sig till dem som ska leda informationshanteringen inom en central, regional eller lokal myndighet eller inom närings- livet, men även till chefspersoner inom organisationen. Kursen innehåller utbildning avseende internationella aktörer och regel- verk, nationella krisledningssystemet, ledning och riskhantering, planering och arkitektur, efterlevnad av regelverk och övning.</P> <P class="p223 ft8">I ISSL ingår även IHT – Institutet för högre totalförsvarsutbild- ning. Utbildning ges här i att hantera många av de svåraste kriserna som kan drabba ett samhälle. Rekryteringen till kurserna på IHT sker bland högre militära chefer och tjänstemän inom offentlig för- valtning, organisationer, media och näringsliv. Utveckling av ut- bildning avseende cyber- och informationssäkerhet i IHT kurs- utbud pågår inom FHS.</P> <P class="p361 ft8">Vid Militärvetenskapliga institutionen (MVI) finns MTA – Militärtekniska avdelningen. Avdelningen ansvarar för utbildning i militärteknik vid främst de militära programmen, men anordnar</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">120</P> </DIV> </DIV> <DIV id="page_121"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p66 ft8">även en grundläggande och orienterande kurs för chefer om in- formationssäkerhet. Vidare finns vid MTA ett Computer Network <NOBR>Operations-lab</NOBR> <NOBR>(CNO-lab),</NOBR> som drivs i samarbete med CATS för ändamålet att kunna genomföra och leda övningsverksamhet/ut- bildningar. CDX Baltic Cyber Shield 2010 leddes delvis från CNO- labbet.</P> <P class="p14 ft8">Vidare finns vid MVI även Krigsvetenskapliga avdelningen – KVA, som bedriver utbildning och forskning inom områdena In- formationsoperationer och informationskrigföring på operativ nivå.</P> <P class="p243 ft16"><SPAN class="ft16">6.2.12</SPAN><NOBR><SPAN class="ft84">E-legitimationsnämnden</SPAN></NOBR></P> <P class="p132 ft8"><NOBR>E-legitimationsnämnden</NOBR> har som övergripande uppgift enligt 1 § förordningen (2010:1497) med instruktion för <NOBR>E-legitimations-</NOBR> nämnden i uppgift att stödja och samordna elektronisk identifie- ring och signering i den offentliga förvaltningens <NOBR>e-tjänster.</NOBR> Den samordnande funktionen på området för <NOBR>e-legitimationer</NOBR> innebär t.ex. att hålla register över utfärdare av <NOBR>e-legitimationer,</NOBR> ställa upp standardiserade krav på <NOBR>e-legitimationers</NOBR> tekniska utformning och säkerhet samt när nya utfärdare önskar delat i infrastrukturen pröva och godkänna dessa.</P> <P class="p166 ft8">Myndigheten har också fattat ett inriktningsbeslut att stödja även privat sektors användning av <NOBR>e-legitimationer</NOBR> bl.a. genom att möjliggöra för registerhållning och upprättande av regler och avtal för privata aktörer.</P> <P class="p14 ft8">Myndigheten har även i uppgift att delta i internationellt stan- dardiseringsarbete, internationellt samarbete och informations- utbyte inom sitt ansvarsområde (2 §).</P> <P class="p119 ft16"><SPAN class="ft16">6.2.13</SPAN><NOBR><SPAN class="ft84">E-delegationen</SPAN></NOBR></P> <P class="p210 ft9"><NOBR>E-delegationen,</NOBR> en kommitté under Näringsdepartementet, inrät- tades 2009 för att stärka utvecklingen av <NOBR>e-förvaltningen</NOBR> och skapa goda möjligheter för myndighetsövergripande samordning (dir. 2009:19). Genom tilläggsdirektiv (dir. 2010:32) fick delegationen 2010 i uppdrag att främja och samordna myndigheternas arbete med att förbättra förutsättningarna för vidareutnyttjande av hand-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">121</P> </DIV> </DIV> <DIV id="page_122"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p362 ft8">lingar från den offentliga förvaltningen samt ta fram riktlinjer för statliga myndigheter användning av sociala medier. Genom till- äggsdirektiv (dir. 2013:40) fick delegationen 2013 i uppdrag att också undersöka behovet av en nationell standard för <NOBR>it-system</NOBR> inom vård och omsorg.</P> <P class="p270 ft14"><SPAN class="ft9">Delegationen lämnade i </SPAN>Tredje generationens <NOBR>e-förvaltning</NOBR> <SPAN class="ft9">(SOU 2009:86) förslag till en strategi för myndigheternas arbete med e- förvaltning. I </SPAN>Organisering av framtidens <NOBR>e-förvaltning</NOBR> <SPAN class="ft9">(SOU 2013:75) föreslås att samordningen av de gemensamma </SPAN><NOBR><SPAN class="ft9">e-förvalt-</SPAN></NOBR><SPAN class="ft9"> ningsfrågorna tas om hand av en medlemsorganisation med en uppbyggnad liknande Arbetsgivarverkets. För att stärka samverkan med den statliga och kommunala sektorn föreslås vidare att den nya organisationen upprättar ett särskilt samarbetsorgan med den kommunala sektorn. Det föreslås att en särskild utredare utreder de närmare förutsättningarna för en sådan organisation och förvalt- ning. I </SPAN>Så enkelt som möjligt för så många som möjligt – IT- standardisering inom socialtjänsten <SPAN class="ft9">(SOU 2013:77) beskrivs resul- tatet av behovsinventeringen inom socialtjänsten i en konsultrap- port med förslag om införande av en nationell tjänsteplattform. E- delegationen bedömer att inga specifika förslag om vilka standardi- seringar som är lämpliga kan lämnas på området. Vidare görs bedömningen att ett fördjupat analysarbete bör genomföras, dels för att värdera de initiativ som föreslås i rapporten, dels för att tyd- ligare belysa informationssäkerheten på området. Utgångspunkten för arbetet ska vara det arbete som skett inom delegationen vad avser digital samverkan och framför allt den vägledning för digital samverkan som utarbetats. Analysarbetet kräver djupare och speci- fik kompetens inom socialtjänsten område och bör därför genom- föras av de organisationer som finns etablerade inom </SPAN><NOBR><SPAN class="ft9">e-hälsoområ-</SPAN></NOBR><SPAN class="ft9"> det. För övriga delrapporter, se www.edelegationen.se. Delega- tionen ska lämna en slutrapport senast den 1 juli 2015.</SPAN></P> <P class="p363 ft8">På webbplatsen anges följande om vad <NOBR>E-delegationen</NOBR> gör vad avser informationssäkerhet.</P> <P class="p364 ft3">Informationssäkerhet behöver förbättras i projekt där flera aktörer samverkar. Bland annat krävs en gemensam säkerhetskultur, metoder och regler. När <NOBR>it-lösningar</NOBR> koncentreras och integreras uppstår också nya risker. <NOBR>E-delegationen</NOBR> arbetar för att utveckla den gemensamma informationssäkerheten. Arbetet ska på sikt leda till en gemensam säkerhetsinfrastruktur och en större effektivitet i samverkansprojekt.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">122</P> </DIV> </DIV> <DIV id="page_123"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td74"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td75"><P class="p16 ft36">Myndigheter med särskilt ansvar för informationssäkerhet</P></TD> </TR> </TABLE> <P class="p66 ft8">Vidare pågår ett arbete med att ta fram en handlingsplan för att förverkliga de mål som finns i Strategi för informationssäkerhet i e- förvaltning och metodstöd för de projekt som drivs inom dele- gationen.</P> <P class="p119 ft16"><SPAN class="ft16">6.2.14</SPAN><SPAN class="ft84">Riksarkivet</SPAN></P> <P class="p210 ft37">Riksarkivet har enligt sin instruktion (3 § förordningen (2007:1179) med instruktion för Riksarkivet och landsarkiven) överinseende över den offentliga arkivverksamheten. Myndigheten ska verka för att de statliga myndigheterna fullgör sina skyldigheter enligt arkivlagen att bevara, hålla ordnade och vårda sina arkiv så att arkiven tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipning och förvaltning samt forskningens behov. Riksarkivet ska också verka för en utveckling av arkiv- verksamheten och en ändamålsenlig gallring av handlingar, ge kommunerna råd i arkivfrågor samt verka för ökad enhetlighet mellan den statliga och den kommunala arkivhanteringen.</P> <P class="p365 ft8">Inom ramen för Riksarkivets allmänna regelverk för myndig- heterna har föreskrifter om bl.a. informationssäkerhet, upphand- ling och tekniska krav meddelats beträffande elektroniska hand- lingar <NOBR>(RA-FS</NOBR> 2009:1 och 2009:2).</P> <P class="p59 ft38">Myndigheten har i samverkan med Myndigheten för samhälls- skydd och beredskap utarbetat en vägledning för fysisk informa- tionssäkerhet i <NOBR>it-utrymmen.</NOBR> Vidare har förvaltningsgemensamma specifikationer tagits fram inom projektet <NOBR>E-arkiv</NOBR> och <NOBR>e-diarium</NOBR> (eARD) som är knutet till <NOBR>E-delegationen.</NOBR></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">123</P> </DIV> </DIV> <DIV id="page_124"> </DIV> <DIV id="page_125"> <P class="p4 ft7">7 Samhällets informationssäkerhet</P> <P class="p366 ft73"><SPAN class="ft33">7.1</SPAN><SPAN class="ft72">Politiska mål för Sveriges säkerhet och samhällets krisberedskap</SPAN></P> <P class="p210 ft8">Målen för Sveriges säkerhet är att värna befolkningens liv och hälsa, värna samhällets funktionalitet och värna förmågan att upprätthålla grundläggande värden som demokrati, rättssäkerhet och mänskliga fri- och rättigheter (prop. 2008/09:140, bet. 2008/09:FöU10, rskr. 2008/09:292). Den svenska säkerhetspolitiken utgår ifrån en bred syn på begreppet säkerhet som inrymmer såväl hot och risker som allvarliga händelser, kriser och militära hot (prop. 2012/13:1 utgiftsområde 6 s. 72).</P> <P class="p14 ft8">Med utgångspunkt i dessa övergripande mål för Sveriges säkerhet är målen för samhällets krisberedskap att minska risken för och konsekvenserna av allvarliga störningar, kriser och olyckor. Skulle en sådan händelse inträffa bör alla människors personliga säkerhet och hälsa tryggas samt skador på egendom eller i miljö Vad gäller politikens inriktning uttalas i budgetpropositionen (prop. 2013/14:1 utgiftsområde 6 s. 96) följande om informations- säkerhet.</P> <P class="p367 ft65">I dag är i stort sett all verksamhet beroende av fungerande informa- tionssäkerhet. En större <NOBR>it-incident</NOBR> kan få omfattande samhällskonse- kvenser både för den drabbade verksamheten men också för andra verksamheter dels genom ett beroendeförhållande till den verksamhet som påverkats, dels genom spridningsrisk av orsak till incidenten. Flera verksamheter kan därmed påverkas och regeringen vill därför åter betona vikten av informationssäkerhetsarbetet med <NOBR>risk-,</NOBR> sårbar- hets- och säkerhetsanalyser. Detta bör dock inte stanna vid att ana- lyser är genomförda utan ansvariga aktörer bör utifrån dessa upprätta handlingsplaner och genomföra åtgärder så att risken för <NOBR>it-incidenter</NOBR> etc. minimeras.</P> <P class="p368 ft20">125</P> </DIV> <DIV id="page_126"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p154 ft10">I regeringens skrivelse (skr. 2009/10:124) <SPAN class="ft15">Samhällets krisberedskap</SPAN></P> <P class="p369 ft15">– stärkt samverkan för ökad säkerhet <SPAN class="ft10">har målen för samhällets informationssäkerhet angetts enligt följande:</SPAN></P> <P class="p342 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Säkra samhällets funktionalitet, effektivitet och kvalitet.</SPAN></P> <P class="p246 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Bidra till samhällets brottsbekämpning.</SPAN></P> <P class="p213 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Stärka samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.</SPAN></P> <P class="p247 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Främja näringslivets tillväxt.</SPAN></P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Värna medborgares fri- och rättigheter och personliga integritet.</SPAN></P> <P class="p343 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Öka medborgares och verksamheters kunskap om och förtro- ende för informationshantering och </SPAN><NOBR>it-system.</NOBR></P> <P class="p252 ft8">Myndigheten för samhällsskydd och beredskap (MSB) har haft i uppdrag att tillsammans med övriga myndigheter som ingår i SAMFI att ta fram en strategi för samhällets informationssäkerhet <NOBR>2010–2015</NOBR> utifrån dessa mål, se avsnitt 7.3.2.</P> <P class="p103 ft13">I Försvarsberedningens senaste rapport, <SPAN class="ft34">Försvaret av Sverige Starkare försvar för en osäker tid (</SPAN>Ds 2014:20), tar beredningen upp cybersäkerhet i ett eget kapitel. Där konstaterar beredningen, liksom i tidigare rapporter, att människor och stater är alltmer beroende av digitala informations- och kommunikationssystem. Detta har medfört nya former av interaktion, datahantering och datalagring, men även nya sårbarheter. Som utredningen beskrivit i avsnitt 4.4 finns det stora säkerhetsutmaningar i det växande it- användandet och <NOBR>it-beroendet.</NOBR> Utredningen återkommer här till Försvarsberedningens bedömning (sid. 31):</P> <P class="p113 ft3">Hot- och riskskalan inom det informationsteknologiska området spänner från mindre omfattande risker för den enskilde medborgaren, till väl planerade och med precision riktade s.k. cyberattacker mot vitala delar i samhällets funktionalitet. Konsekvenserna innefattar spridningseffekter som drabbar samhällsviktig verksamhet i flera sektorer. Samman- kopplingen mellan olika typer av industriella <NOBR>informations-och</NOBR> styrsystem utgör en växande sårbarhet. Störningar eller antagonistiska hot där dessa system tas över av tredje part kan hota samhällsviktiga funktioner och ytterst ett lands suveränitet. <NOBR>Data-och</NOBR> nätverksoperationer har utvecklats till att utgöra ett separat antagonistiskt hot såväl som ett av flera militära maktmedel. Riktade angrepp såväl inom som mot cyberområdet kan utföras av både statliga och <NOBR>icke-statliga</NOBR> aktörer.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">126</P> </DIV> </DIV> <DIV id="page_127"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p283 ft13">Försvarsberedningen konstaterar vidare att Sveriges samlade för- måga att förebygga, motverka och aktivt hantera konsekvenserna av civila och militära hot, händelser och attacker på cyberområdet måste öka. För att möjliggöra ett koordinerat beslutsfattande framhåller Försvarsberedningen betydelsen av att det mellan civila myndigheter och Försvarsmakten finns en delad lägesinformation vid händelser. Försvarsberedningen betonar fortsatt behovet av att se på möjligheten att fortsatt stärka <NOBR>it-robustheten</NOBR> i samhället och analysera behovet av att utveckla cyberförmågor.</P> <P class="p243 ft33"><SPAN class="ft33">7.2</SPAN><SPAN class="ft48">Arbete i Regeringskansliet</SPAN></P> <P class="p192 ft9">Regeringskansliet är den myndighet under regeringen som förbere- der regeringens ärenden och i övrigt är regeringen behjälplig. I Regeringskansliet ingår Statsrådsberedningen, Förvaltningsavdel- ningen och tio departement. Statsministern är chef för Regerings- kansliet. Förvaltningsärenden och lagstiftningsärenden fördelas mellan departementen på det sätt som anges i bilagan till förord- ningen (1996:1515) med instruktion för Regeringskansliet.</P> <P class="p15 ft37">Av Riksrevisionens granskningsrapport <SPAN class="ft62">Informationssäkerheten i den civila statsförvaltningen </SPAN>RIR 2014:23 s. 72 f. framgår hur Rege- ringskansliet är organiserat för att hantera informationssäkerhet:</P> <P class="p370 ft85">I Regeringskansliet har varje fackdepartement på regeringens vägnar ansvar för att följa upp sina respektive myndigheters informations- säkerhetsarbete. I praktiken innebär det att varje myndighetshandläggare hanterar frågor som handlar om myndighetens informationssäkerhet. Detta förutsätter dock att myndighetshandläggaren får signaler om att det finns behov av att uppmärksamma informationssäkerhetsarbetet. Sådana signaler kan vara <NOBR>it-incidenter</NOBR> vid myndigheten, uppmärksamhet i massmedier eller att frågan om informationssäkerhet väcks inom Regeringskansliet.</P> <P class="p371 ft65">Hur frågor som berör informationssäkerhet fördelas mellan depar- tementen avgörs tydligast av den ansvarsfördelning som är fastställd i en bilaga till Regeringskansliets instruktion. Beroende på vad inform- ationssäkerhetsfrågan handlar om styrs den till det departement som huvudsakligen berörs. Ett ärende som rör flera departements verksam- hetsområden ska handläggas inom det departement till vilket det huvudsakligen tillhör och beredas i samråd med övriga berörda statsråd (gemensam beredning).</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">127</P> </DIV> </DIV> <DIV id="page_128"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p339 ft16"><SPAN class="ft16">7.2.1</SPAN><SPAN class="ft63">Departementens beskrivningar</SPAN></P> <P class="p75 ft13">I arbetet med att få en bild av samhällets informationssäkerhet har utredningen kontaktat Justitiedepartementet, Utrikesdepartemen- tet, Försvarsdepartementet och Näringsdepartementet för att få underlag som beskriver respektive departements arbete med in- formations- och cybersäkerhetsrelaterade frågor. Underlaget pre- senteras nedan.</P> <P class="p63 ft16">Justitiedepartementet</P> <P class="p159 ft37">Justitiedepartementet har en viktig roll i att säkerställa statens ansvar att skydda sina medborgare från att bli utsatta för brott och säkerställa att alla kan åtnjuta sina mänskliga rättigheter fullt ut även i en tid då allt mer av mänsklig interaktion sker genom inter- net. Justitiedepartementet har ansvar för frågor om allmän ordning, säkerhet och krisberedskap, inklusive ansvaret för Regeringskansli- ets egen krisberedskap. Departementet har också ansvar för bevak- ning och hantering av <NOBR>it-relaterad</NOBR> brottslighet, vissa informations- säkerhetsfrågor, inklusive säkerhetsskydd, skydd för personupp- gifter samt <NOBR>it-frågor</NOBR> i bredare bemärkelse kopplat till allmän ord- ning och säkerhet. Beröringspunkterna utgår från horisontella frå- gor såsom grundläggande fri- och rättigheter, krisberedskap och mer specifika frågor om dataskydd, brottsbekämpning och skydd för rikets säkerhet.</P> <P class="p372 ft8">Justitiedepartementet hanterar även frågor kopplade till it, in- formationssäkerhet och brottslighet genom myndighetstyrning och lagstiftningsarbete. Detta görs för att skapa förutsättningar för myndigheter som lyder under departementet såsom Polismyndig- heten, Säkerhetspolisen, Myndigheten för samhällsskydd och beredskap och åklagarväsendet, att utföra sina uppdrag på detta område.</P> <P class="p226 ft13">Vid departementet ansvarar polisenheten (PO) för förvaltnings- och utvecklingsfrågor som gäller polisen, inklusive Säkerhetspoli- sen och därmed för förutsättningar för dessa myndigheter att ut- reda och beivra <NOBR>it-relaterad</NOBR> brottslighet och förebygga och avslöja brott mot rikets säkerhet. Enheten för samordning av samhällets krisberedskap (SSK) ansvarar för samordning avseende åtgärder m.m. för att utveckla, följa upp och förstärka samhällets krisbered-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">128</P> </DIV> </DIV> <DIV id="page_129"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p260 ft13">skap och civilt försvar, vilket inkluderar samhällets informations- säkerhet. Enheten har beredningsansvar för styrning av bl.a. Myn- digheten för samhällsskydd och beredskap. På lagstiftningssidan ansvarar åklagarenheten (Å) för lagstiftningsfrågor som rör allmänt åtal, förundersökning och tvångsmedel i brottmål, vilket innefattar många av de utredningsverktyg som polis och åklagare har till för- fogande för utredning av <NOBR>it-relaterad</NOBR> brottslighet. Enheten för brottmålsärenden och internationellt rättsligt samarbete (BIRS) ansvarar för lagstiftningsfrågor som rör bl.a. internationell rättslig hjälp vilket är särskilt viktigt i gränsöverskridande <NOBR>it-relaterade</NOBR> brottsutredningar. Centralmyndigheten, som är en kontaktpunkt för många in- och utgående ärenden i det internationella straff- rättsliga samarbetet, är vidare placerad på enheten. Enheten för allmän ordning och säkerhet (L4) har lagstiftningsfrågor som gäller bl.a. polisverksamhet och polisregister, internationellt polissam- arbete och säkerhetsskyddslagen. Straffrättsenheten (L5) ansvarar för lagstiftningsfrågor som rör straffrätt, såsom dataintrång och annan <NOBR>it-relaterad</NOBR> brottslighet. Slutligen ansvarar grundlagsenheten (L6) för lagstiftningsfrågor som bl.a. gäller skydd för den person- liga integriteten, skydd för personuppgifter och tryckfrihets- förordningen och yttrandefrihetsgrundlagen.</P> <P class="p204 ft37">En stor del av de säkerhetsrelaterade aspekterna på <NOBR>it-området</NOBR> handlar om att förebygga och skydda sig mot olika former av it- incidenter. Hot utgörs av allt ifrån tekniska fel till den mänskliga faktorn och olika typer av uppsåtliga <NOBR>it-attacker</NOBR> av antagonistiska statliga eller <NOBR>icke-statliga</NOBR> aktörer. Utöver detta är det inte ovanligt att t.ex. väderfenomen, naturkatastrofer och olyckor orsakar incidenter med <NOBR>it-inslag.</NOBR> Sådana incidenter tar inte sällan formen av olika typer av uppsåtliga <NOBR>it-attacker</NOBR> av antagonistiska statliga eller <NOBR>icke-statliga</NOBR> aktörer och utgör således även brottslig verksamhet. Av den anledningen berörs även Justitiedepartementet av många frågor för vilket huvudansvaret ligger på andra departement vid Regeringskansliet. Justitiedepartementet har ett ansvar för in- formationssäkerhetsfrågor enligt instruktionen för Regerings- kansliet. Det är dock även andra departement som arbetar med informationssäkerhetsfrågor utifrån olika aspekter. Detta reflekte- ras även i hur samverkan sker mellan en mängd olika myndigheter med ansvar på området som har olika departement som huvudmän. Ett exempel på detta är samarbetet som finns mellan Säkerhetspoli-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">129</P> </DIV> </DIV> <DIV id="page_130"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">sen, Militära underrättelse- och säkerhetstjänsten (MUST) och Försvarets radioanstalt (FRA) för kvalificerade <NOBR>it-brott</NOBR> och mer omfattande angrepp på <NOBR>it-system.</NOBR> Detta samarbete, som kallas Nationell samverkan mot kvalificerade <NOBR>it-brott</NOBR> (NSIT), syftar till att bättre utnyttja de expertresurser som de olika myndigheterna besitter.</P> <P class="p72 ft8">Utöver dessa nationella frågor finns det frågor kopplade till it- brottslighet och informationssäkerhet med en tydlig gränsöver- skridande dimension. Därför bevakar departementets enheter de internationella frågor som är kopplade till dess ansvarsområden. Här pågår viktigt arbete inom bl.a. EU (bl.a. den lagstiftande verk- samheten och samarbetet med <NOBR>it-brottscentret</NOBR> EC3 vid Europol, samt förhandlingar av <NOBR>NIS-direktivet),</NOBR> FN:s organ för narkotika och brottslighet UNODC och Europarådet (i synnerhet kopplat till konventionen om <NOBR>it-relaterad</NOBR> brottslighet – ETS 185). Främjandet av bilateralt samarbete med tredje länder är också en viktig del i detta.</P> <P class="p63 ft16">Utrikesdepartementet</P> <P class="p75 ft13">Utrikesdepartementet (UD) ansvarar för Sveriges förbindelser med andra länder och de handlingsalternativ som ligger till grund för regeringens ställningstaganden i utrikespolitiska frågor. Globala frågor som rör internationella informations- och kommunika- tionsteknologier (ICT) har snabbt blivit ett växande och angeläget utrikespolitiskt frågekomplex som spänner över hela bredden av internationella relationer – bl.a. säkerhet, folkrätt, handel, ut- veckling och inte minst demokrati och mänskliga rättigheter – och behandlas i en mängd multilaterala, regionala och bilaterala fora.</P> <P class="p71 ft8">Internationella cyberfrågor utgör i allt högre grad en integrerad del av UD:s verksamhet. Det övergripande ansvaret för cyber- området inom UD främst ligger hos <NOBR>UD-FMR</NOBR> och <NOBR>UD-SP</NOBR> som har ett mycket nära samarbete. Därutöver berörs en rad andra en- heter också av cyber- och internetrelaterade frågor, inklusive UD- IH vad gäller handelsaspekter och allmänt för de olika geografiska enheterna.</P> <P class="p103 ft8">UD har nära samarbeten med övriga Regeringskansliet, bl.a. Näringsdepartementet vad gäller internets styrning, Justitiedepar-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">130</P> </DIV> </DIV> <DIV id="page_131"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p66 ft8">tementet vad gäller arbetet med informations- och cybersäkerhet och cyberbrottsfrågor och Försvarsdepartementet vad gäller cyber- försvarsfrågor. UD ansvarar även för Sveriges säkerhetspolitiska doktrinutveckling där cybersäkerhet förväntas spela en tilltagande roll i framtiden</P> <P class="p15 ft13">UD ansvarar för en omfattande mängd svenska ställningstagan- den och hanterande av internationella cyberfrågor ur en rad olika aspekter, exempelvis internationell normbildning, deltagande i en stor mängd konferenser och möten, internationella förtroendebyg- gande åtgärder, resolutionsarbete, kapacitetsbyggande åtgärder och samarbeten och övningar liksom EU:s externa samarbeten och politiska dialoger. Cyberfrågor behandlas numera i en rad multila- terala och regionala organisationer för vilka UD har huvud- eller medansvar för, bl.a. FN, EU, Nato, Europarådet och OSSE.</P> <P class="p15 ft38">Cyberfrågorna med sådant perspektiv utgör därmed en del av Sveriges samlade utrikes- och säkerhetspolitik. De grundförutsätt- ningar som är allmänt vägledande för Sveriges utrikes- och säker- hetspolitik återspeglas även i arbetet med cyberfrågorna.</P> <P class="p105 ft16">Försvarsdepartementet</P> <P class="p210 ft9">Försvarsdepartementet ansvarar bl.a. för Sveriges militära försvar och dess stödmyndigheter samt samordning mellan det militära försvaret och det civila försvaret inom ramen för totalförsvar. Departementet planerar på strategisk nivå insatser och säkerhetsfrämjande verksamhet i och utanför vårt närområde och ger uppdrag till myndigheterna att genomföra samt följa upp dessa insatser.</P> <P class="p14 ft8">Försvarsdepartementet handlägger bl.a. förvaltningsärenden som gäller det militära försvaret, bi- och multilateralt försvars- och materielsamarbete och försvarsunderrättelseverksamhet. I dessa ingår bl.a. <NOBR>it-försvars-,</NOBR> signalskydds- och vissa informationssäker- hetsrelaterade frågor.</P> <P class="p257 ft9">Försvarsdepartementets organisation framgår av Regerings- kansliets föreskrifter med arbetsordning för Försvarsdepartementet (RKF 2014:11) och består av ett antal sekretariat och enheter.</P> <P class="p13 ft8">Sekretariatet för säkerhetspolitik, internationella relationer och analys (SI) svarar för frågor om säkerhetspolitik och internationell samordning.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">131</P> </DIV> </DIV> <DIV id="page_132"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p373 ft8">Enheten för samordning av försvarsunderrättelsefrågor (SUND) har till uppgift att löpande följa, inrikta och utveckla försvars- underrättelseverksamheten. Enheten har beredningsansvar för styrning av bl.a. Försvarets radioanstalt (FRA), och Försvarsmakten, såvitt avser myndighetens enhet för underrättelse- och säkerhetstjänst (MUST).</P> <P class="p223 ft8">Enheten för materiel, forskning och utveckling (MFU) svarar för materielförsörjning, forskning och utveckling samt annan stöd- verksamhet avseende departementets myndigheter. Enheten har beredningsansvar för styrning av bl.a. Försvarets materielverk (FMV) och Totalförsvarets forskningsinstitut (FOI).</P> <P class="p223 ft8">Enheten för militär förmåga och insatser (MFI) svarar för frå- gor om det militära försvaret. Enheten har beredningsansvar för styrning av Försvarsmakten med undantag för de delar av myndig- heten som SUND ansvarar för.</P> <P class="p374 ft8">Vissa av Försvarsdepartementets myndigheter löser uppgifter inom informationssäkerhetsområdet, som en del av sina huvud- uppgifter.</P> <P class="p276 ft13">Inom Försvarsmakten finns den Militära underrättelse- och säkerhetstjänsten (MUST). MUST:s säkerhetskontor ansvarar för kravställning, granskning, godkännande och vidmakthållande av signalskyddsystem för totalförsvaret samt kravställning och god- kännande av säkerhetsfunktioner för <NOBR>IT-system</NOBR> i Försvarsmakten. Signalskyddstjänsten syftar till att förhindra obehörig insyn och påverkan av telekommunikations- och <NOBR>it-system.</NOBR> MUST:s under- rättelse- och säkerhetsunderrättelseverksamhet bidrar även till att kartlägga yttre <NOBR>it-hot</NOBR> mot Sverige och svenska intressen.</P> <P class="p238 ft9">Inom Försvarsmakten finns även ett antal ledningsförband som har till uppgift att skydda Försvarsmaktens <NOBR>it-system</NOBR> mot angrepp. Inom <NOBR>it-försvarsförbandet</NOBR> (ITF) finns funktionen FM CERT (Computer Emergency Response Team) som hanterar <NOBR>IT-säkerhetsincidenter</NOBR> i Försvarsmakten samt analyserar och föreslår förbättringar i myndig- hetens verksamhet utifrån ett informationssäkerhetsperspektiv.</P> <P class="p232 ft9">FRA har uppgiften att upprätthålla hög kompetens inom tek- nisk informationssäkerhet och stödjer andra myndigheter och stat- liga företag med informationssäkerhetsanalyser. FRA biträder även Försvarsmaktens signalskyddsverksamhet med expertkompetens inom kryptografi. Inom myndighetens försvarsunderrättelseverk- samhet bedrivs signalspaning för att bl.a. kartlägga allvarliga yttre</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">132</P> </DIV> </DIV> <DIV id="page_133"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p375 ft13">hot mot samhällets infrastrukturer. Det omfattar t.ex. att upptäcka <NOBR>it-angrepp</NOBR> från utlandet mot känsliga informationssystem i Sverige.</P> <P class="p14 ft8">Hos FMV finns Sveriges certifieringsorgan för <NOBR>it-säkerhet</NOBR> (CSEC). CSEC är en oberoende enhet inom FMV, och verkar som Sveriges nationella evaluerings- och certifieringsorgan för <NOBR>it-säker-</NOBR> het i produkter och system enligt standarden Common Criteria. CSEC licensierar företag som utför granskningar enligt dessa reg- ler. Produkter som certifierats av CSEC används av bl.a. Försvars- makten.</P> <P class="p14 ft8">FOI bedriver forskning, metod- och teknikutveckling för totalförsvaret, bl.a. inom informationssäkerhetsområdet, t.ex. ut- veckling av försvar av <NOBR>it-system.</NOBR> Till sin hjälp har man bl.a. avance- rade simuleringssystem.</P> <P class="p69 ft16">Näringsdepartementet</P> <P class="p376 ft9">Inom Näringsdepartementet finns sedan 2015 två enheter som arbetar med digitaliseringen, <NOBR>it-politiska</NOBR> enheten (ITP) och en- heten för elektronisk förvaltning (EF). Verksamheten vid enhet- erna styrs av de mål som beslutats av regering och riksdag samt av de övergripande målen för Näringsdepartementet och <NOBR>it-politiken.</NOBR></P> <P class="p59 ft9">Arbetet vid <NOBR>ITP-enheten</NOBR> handlar om egna sektorsområden (t.ex. myndighetsstyrning av PTS, reglering av elektronisk kommunikation etc.), men också om horisontella frågor och samordning (t.ex. den digitala agendan). Då infrastrukturen och aktörer som utbjuder elektroniska tjänster arbetar på en konkurrensutsatt marknad påverkar det statens möjligheter till påverkan och styrning. Staten och det offentliga (inklusive kommuner och landsting) är å andra sidan en stor <NOBR>it-användare</NOBR> och har i dessa avseenden stora möjligheter att som kund kunna påverka utvecklingen (t.ex. <NOBR>e-förvaltning).</NOBR> Systemet med gemensam beredning innebär att enheterna också blir berörd av it- aspekter inom många politikområden. <NOBR>ITP-enheten</NOBR> ansvarar för över- gripande frågor, reglering, främjande och utveckling inom områdena it och elektronisk kommunikation samt post- och betaltjänster. Enheten arbetar bl.a. med bredbandsmarknaden, nätsäkerhet, radiospektrum- frågor och internets förvaltning. Ansvarsområdet omfattar även styrning och uppföljning av Post- och telestyrelsen, samt Digitaliseringskommissionen. De åtgärder som vidtas syftar till att</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">133</P> </DIV> </DIV> <DIV id="page_134"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p199 ft8">skapa goda förutsättningar för väl fungerande marknader och effektiv konkurrens. Hushåll och företag ska ha tillgång till effektiv, robust och säker infrastruktur och bästa möjliga utbud av kommunikations- tjänster. Därutöver ska alla i samhället ha tillgång till grundläggande betaltjänster till rimliga priser. Politiken omfattar även åtgärder som syftar till att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter och åtgärder som syftar till att Sverige ska ha bredband i världsklass. Hushåll och företag ska ha goda möjligheter att använda sig av elektroniska samhällstjänster och service via bredband.</P> <P class="p238 ft9"><NOBR>EF-enheten</NOBR> ansvarar för övergripande <NOBR>it-frågor</NOBR> i statsförvalt- ningen. Målet är en enklare vardag för medborgare, en öppnare förvaltning som stödjer innovation och delaktighet och en högre kvalitet och effektivitet i verksamheten. Verksamheten omfattar flera delområden. Strategisk styrning och samordning av det myn- dighetsövergripande arbetet med att digitalisera den offentliga verksamheten inklusive strategiska <NOBR>it-investeringar</NOBR> i statsförvalt- ningen. Utveckling, införande och förvaltning av förvaltnings- gemensamma digitala lösningar. Samordning av myndighetsöver- gripande digitala lösningar mellan olika verksamhetsområden. Mjuka infrastrukturella förutsättningar för digitalisering: <NOBR>it-arkitektur,</NOBR> standarder och myndighetsövergripande informationssäkerhet. Uppföljning av myndigheternas <NOBR>it-verksamhet.</NOBR> Myndighetgemen- samma arbetssätt: vägledningar, ramverk och kompetensutveckling. Juridiska förutsättningar för digital samverkan. Styrning och utveckling av <NOBR>e-legitimationsnämnden,</NOBR> <NOBR>E-delegationen</NOBR> och organisa- toriska förutsättningar för det offentliga Sveriges digitalisering. Nämndens uppgift är att stödja och samordna offentliga sektorns behov av säkra metoder för elektronisk identifiering och signering. Delegationen har bl.a. i uppdrag att driva på <NOBR>e-utvecklingen</NOBR> inom offentlig sektor, att arbeta med <NOBR>e-förvaltning,</NOBR> sociala medier och vidareutnyttjande av offentlig information <NOBR>(PSI-direktivet).</NOBR></P> <P class="p377 ft9"><NOBR>ITP-enheten</NOBR> och <NOBR>EF-enheten</NOBR> är involverade i ett stort antal olika internationella samarbeten och <NOBR>EU-samarbeten,</NOBR> till exempel Europeiska Unionens råd (telerådet) och rådsarbetsgrupp H5 telekom/ informationssamhällets tjänster, högnivågrupper för Digital agenda för Europa, Enisa (Europeiska byrån för nät- och informa- tionssäkerhet), Nordiska ministerrådets <NOBR>it-forum,</NOBR> Communications Committee (COCOM) och Radio Spectrum Committee (RSC).</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">134</P> </DIV> </DIV> <DIV id="page_135"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p283 ft9">Utöver det så deltar <NOBR>ITP-enheten</NOBR> också i olika internationella sam- arbeten rörande internets förvaltning till exempel International Corporation for Assigned Names and Numbers (ICANN), Inter- national Telecommunications Union (ITU), Universal Postal Union (UPU) och flera olika OECD grupper inom <NOBR>it-området.</NOBR> <NOBR>EF-enheten</NOBR> deltar även i genomförandearbetet avseende EU:s <NOBR>eIDAS-förordning</NOBR> (om <NOBR>EU-gränsöverskridande</NOBR> <NOBR>e-signaturer,</NOBR> <NOBR>e-ID)</NOBR> och i projekten e- Sense/Stork 2.0 om <NOBR>e-ID.</NOBR> Samtliga dessa organ hanterar från tid till annan nät- eller informationssäkerhetsrelaterade frågor.</P> <P class="p243 ft33"><SPAN class="ft33">7.3</SPAN><SPAN class="ft48">Uppdrag från regeringen</SPAN></P> <P class="p278 ft16"><SPAN class="ft16">7.3.1</SPAN><SPAN class="ft63">Utredningsdirektiv</SPAN></P> <P class="p256 ft9">Regeringen beslutade den 8 december 2011 att tillkalla en särskild utredare med uppdrag att göra en översyn av säkerhetsskyddslag- stiftningen <SPAN class="ft14">En modern säkerhetsskyddslag </SPAN>(dir. 2013:110). Utred- ningens syfte är främst att bättre anpassa lagstiftningen till det som krävs för att skydda verksamhet som har betydelse för rikets säker- het och till de krav det internationella samarbetet ställer.</P> <P class="p57 ft10">Utredningens uppdrag har varit att</P> <P class="p108 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">analysera vilka verksamheter som är av betydelse för rikets säkerhet eller som behöver skyddas mot terrorism och därför är i behov av säkerhetsskydd,</SPAN></P> <P class="p357 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">föreslå hur reglerna om informationssäkerhet, som en del av säkerhetsskyddet, bör vara utformade,</SPAN></P> <P class="p108 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">analysera vilka förändringar som kan behövas för att bättre anpassa lagstiftningen till de krav på säkerhetsskydd som ställs i det internationella samarbetet,</SPAN></P> <P class="p189 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft19">analysera hur ett system med säkerhetsklarering kan utformas för svenska förhållanden,</SPAN></P> <P class="p108 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft19">bedöma inom vilka verksamheter registerkontroll till skydd mot terrorism bör få ske,</SPAN></P> <P class="p106 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft19">analysera behovet av förändringar av bestämmelserna om säker- hetsskyddad upphandling,</SPAN></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">135</P> </DIV> </DIV> <DIV id="page_136"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p122 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">ta ställning till om kravet på svenskt medborgarskap i säkerhets- skyddslagen bör förändras, och</SPAN></P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">utarbeta nödvändiga författningsförslag.</SPAN></P> <P class="p378 ft10">Utredningen beräknas avsluta sitt arbete under mars månad 2015.</P> <P class="p195 ft16"><SPAN class="ft16">7.3.2</SPAN><SPAN class="ft63">Regeringsuppdrag till myndigheter</SPAN></P> <P class="p254 ft8">Under de senaste åren har flera åtgärder initierats för att Sverige ska bli bättre på att utnyttja informationsteknologi i syfte att öka effektiviteten och den konkreta nyttan för medborgare, företag och för regeringens och myndigheternas eget arbete.</P> <P class="p379 ft16">Åtgärder för att förbättra samhällets samlade förmåga att förebygga och hantera <NOBR>IT-incidenter</NOBR></P> <P class="p155 ft9">2009 fick Myndigheten för samhällsskydd och beredskap (MSB) i uppdrag lämna förslag på åtgärder för att förbättra samhällets samlade förmåga att förebygga och hantera <NOBR>it-incidenter.</NOBR> MSB redovisade uppdraget 2010 och förslaget gick i huvudsak ut på att skapa ett nationellt operativt samverkanscenter lokaliserat på MSB. Ytterligare förslag var exempelvis att utreda obligatorisk <NOBR>it-incidenthantering</NOBR> och tekniskt intrångsdetekterings- och varningssystem, att informations- säkerhet beaktas i risk- och sårbarhetsanalyser samt att ta fram en nationell plan för att hantera allvarliga <NOBR>it-incidenter.</NOBR></P> <P class="p63 ft16">Nationell hanterandeplan för allvarliga <NOBR>it-incidenter</NOBR></P> <P class="p159 ft13">Regeringen beslutade den 14 april 2010 om ett antal uppdrag till MSB på informationssäkerhetsområdet (Fö2010/702/SSK). Upp- dragen syftar till att stärka samhällets informationssäkerhet och förmåga att förebygga och hantera <NOBR>it-incidenter.</NOBR> MSB fick då i uppdrag att ta fram en nationell plan som klargör hur allvarliga it- incidenter ska hanteras. MSB redovisade uppdraget 2011 och har tagit fram en nationell plan för att hantera allvarliga <NOBR>it-relaterade</NOBR> kriser <SPAN class="ft34">Nationell hanterandeplan för allvarliga </SPAN><NOBR><SPAN class="ft34">IT-incidenter</SPAN>.</NOBR> Planen</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">136</P> </DIV> </DIV> <DIV id="page_137"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p203 ft10">syftar till att underlätta för varje aktör genom att tillsammans med andra aktörer ta fram en gemensam lägesbild.</P> <P class="p380 ft16">System för obligatorisk <NOBR>it-incidentrapportering</NOBR> för statliga myndigheter</P> <P class="p142 ft8">År 2010 fick MSB även i uppdrag att utreda hur ett system för obligatorisk <NOBR>it-incidentrapportering</NOBR> för statliga myndigheter kan utformas. MSB redovisade 2011 ett förslag där systemet för incidentrapportering föreslogs införas stegvis och föregås av en pilotversion i mindre skala. MSB fick 2012 ett tillkommande upp- drag gällande incidentrapportering vilket redovisades senare samma år <SPAN class="ft35">Nationellt system för </SPAN><NOBR><SPAN class="ft35">it-incidentrapportering</SPAN>.</NOBR> Se vidare i avsnitt 7.5.3.</P> <P class="p381 ft16">Utformning av ett sensorsystem benämnt tekniskt detekterings- och varningssystem (TDV)</P> <P class="p142 ft8">I april 2010 gav regeringen MSB och Försvarets radioanstalt (FRA) två uppdrag rörande ett tekniskt detekterings- och varningssystem (TDV) för samhällsviktig verksamhet och kritisk infrastruktur. FRA fick i uppdrag att lämna förslag på hur ett sådant system kan utformas. MSB fick i sin tur i uppdrag att lämna förslag på vilka aktörer som ska omfattas av ett sådant system. 2011 redovisade MSB sina förslag, och rekommenderade att alla statliga myndig- heter som är särskilt utpekade i bilagan till krisberedskapsförord- ningen skulle erbjudas att delta i systemet. FRA fick 2011 ett kompletterande uppdrag att komma in med en mer detaljerad redovisning samt att utarbeta en pilotversion av systemet. År 2012 redovisade FRA sitt kompletterande uppdrag och pilotprojektet, vilket innebär att TDV i dagsläget finns i drift hos ett fåtal användare.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">137</P> </DIV> </DIV> <DIV id="page_138"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p382 ft16">Tillgänglig och skyddad kommunikationsinfrastruktur för offentlig sektor</P> <P class="p254 ft8">År 2010 fick MSB i uppdrag av regeringen att lämna förslag på en säker digital informations- och kommunikationsinfrastruktur för myndigheter, kommuner och landsting. 2011 lämnade MSB sitt förslag på hur en tillgänglig och skyddad kommunikationsinfra- struktur för offentlig sektor skulle kunna skapas. Förslaget går i huvudsak ut på att skapa en sammanhållande organisatorisk struk- tur med uppdrag att samordna, inrikta, ansvara för drift och för- valta. Vissa delar av infrastrukturen ska enligt förslaget tillhanda- hållas genom staten och andra genom näringslivet. Se vidare avsnitt 7.5.4.</P> <P class="p158 ft16">Strategi och handlingsplan för samhällets informationssäkerhet</P> <P class="p383 ft8">Regeringen gav MSB i uppdrag att tillsammans med övriga myn- digheter som ingår i SAMFI att ta fram en strategi för samhällets informationssäkerhet <NOBR>2010–2015.</NOBR> Strategin omfattar hela samhället, det vill säga alla statliga myndigheter, kommuner och landsting, företag, organisationer och privatpersoner. Den anger strategiska mål och områden samt principer för informationssäkerhetsarbetet. Strategin förvaltas av MSB.</P> <P class="p72 ft8">För att förverkliga strategins intentioner har <NOBR>SAMFI-myndig-</NOBR> heterna tagit fram en nationell handlingsplan för samhällets in- formationssäkerhet. Syftet med handlingsplanen är även att skapa en grund för en aktiv dialog om mål och metoder i det nationella informationssäkerhetsarbetet och en möjlighet för den enskilda organisationen att samordna sitt säkerhetsarbete med det nationella säkerhetsarbetet. Planen innehåller ett trettiotal åtgärdsförslag som syftar till att förverkliga den strategi för samhällets informations- säkerhet som <NOBR>SAMFI-myndigheterna</NOBR> gemensamt lade fram i janu- ari 2011.</P> <P class="p104 ft13">Arbetet med handlingsplanen har omfattat diskussioner och samverkan med ett stort antal aktörer. Därigenom har arbetet med handlingsplanen fortlöpande förankrats på olika nivåer i samhället.</P> <P class="p72 ft8">Arbetet med handlingsplanen utgör även ett verktyg för myn- digheterna i SAMFI att ta fram prioriterade åtgärder för att stärka samhällets informationssäkerhet. Åtgärdsförslagen ligger inom</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">138</P> </DIV> </DIV> <DIV id="page_139"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p66 ft8">ramen för de uppdrag som myndigheterna i SAMFI har. Planen är dock inte en komplett redovisning av de informationssäkerhets- främjande åtgärder som de olika myndigheterna genomför inom sina respektive verksamheter.</P> <P class="p14 ft8">Handlingsplanen innehåller ett flertal konkreta åtgärder inom informationssäkerhetsområdet, bl.a. hur allvarliga <NOBR>it-incidenter</NOBR> ska hanteras, samt hur tekniska kompetensnätverk av experter kan skapas för att stödja samhället vid allvarliga <NOBR>it-incidenter</NOBR> och förslag på åtgärder för att skapa en ökad förmåga till respons.</P> <P class="p15 ft38">Arbetet med 2012 års handlingsplan kommer att avslutas 2015. Under de senaste två åren har myndigheterna i SAMFI och andra aktörer genomfört ett stort antal aktiviteter för att öka samhällets informations- och cybersäkerhet. Arbetet med aktiviteterna pre- senteras efter halva tiden i en statusrapport om läget i arbetet.</P> <P class="p100 ft16">Hur det civila försvaret kan utvecklas och stärkas</P> <P class="p256 ft37">Regeringen uppdrog i juni 2014 åt MSB att redovisa hur det civila försvaret kan utvecklas och stärkas. MSB lämnade den 16 december 2014 en rapport till regeringen <SPAN class="ft62">Så kan det civila försvaret utvecklas och stärkas </SPAN>(dnr MSB <NOBR>2014-3277).</NOBR> Vad avser informations- och cybersäkerhet lade MSB fram ett flertal förslag och slutsatser. Det konstaterades att informations- och kommunikationssystem är en viktig och avgörande resurs inom i stort sett all samhällsverk- samhet. Kris- och krigsviktig verksamhet och kritisk infrastruktur bör kunna skyddas med olika medel och metoder, där krypto- grafiska funktioner är ett sätt. Vidare konstaterade MSB att obligatorisk <NOBR>it-incidentrapportering</NOBR> är mycket väsentlig för att stärka den nationella förmågan att hantera <NOBR>it-incidenter</NOBR> i system som är kritiska för samhällsviktig verksamhet inför och under höjd beredskap. Även aktörer utanför den statliga sfären kommer att behöva omfattas om förmågan ska bli tillfredsställande. MSB drog vidare följande slutsatser. Arbetet med kommunikationssäkerhet i standardprodukter/program bör utvecklas i syfte att säkerställa att en bred krets av samhällsaktörer kan få tillgång till säker kommunikation inför och under höjd beredskap. Förmågan till informationshantering i dag är av stor vikt för samhällets aktörer. Det systematiska informationssäkerhetsarbetet som redan i dag</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">139</P> </DIV> </DIV> <DIV id="page_140"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p345 ft13">bedrivs bör väga in de krav som gäller under höjd beredskap. Utan kännedom om olika informationshanteringsprocessers betydelse och beroendeförhållanden kan varken rätt prioriteringar eller rätt skyddsåtgärder vidtas. All planeringsverksamhet avseende höjd beredskap, liksom för övrigt även viktiga områden inom krisbered- skapen, inrymmer betydande delar av information som är av den karaktären att den bör omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400). Informationssäkerhet är därför ett område som i olika avseenden måste åtfölja all den planering för höjd beredskap och krig som genomförs inom olika verksamheter som är av betydelse för det samlade försvaret.</P> <P class="p200 ft8">MSB konstaterar i rapporten att möjligheten att i förväg träna sin förmåga i praktisk <NOBR>it-incidenthantering</NOBR> är mycket begränsad. För att praktiskt kunna hantera <NOBR>it-angrepp</NOBR> krävs förmågehöjande träning för samhällsviktig verksamhet. MSB har i samverkan med Totalförsvarets forskningsinstitut utvecklat ett så kallat</P> <P class="p384 ft8">”cyberrange” avsedd för förmågehöjande träning i hantering av it- incidenter. MSB kommer att se över möjligheterna till en utökad samverkan för praktisk träning av operatörer i samhällsviktig verksamhet som en del av förberedelserna för höjd beredskap.</P> <P class="p201 ft13">MSB anser också att kunskap måste byggas upp hos aktörerna i civila försvaret. Under en följd av år har utbildning avseende för- svarssekretess inte genomförts i den omfattning och med den in- tensitet som kommer att bli nödvändig när planeringen inom om- rådet civilt försvar ska påbörjas. MSB bedömer att det är nödvän- digt att utbildning snabbt kommer igång inom alla berörda myn- digheter, liksom även inom kommuner och landsting, vad avser frågor om informationssäkerhet och försvarssekretess.</P> <P class="p385 ft8">MSB avser se över behovet av riktlinjer och metodstöd för kommunikation och lägesrapportering i hela hotskalan. I vardagen och vid kris kan rapportering ske via WIS, eller andra motsvarande system. Rapportering vid höjd beredskap bör kunna ske på motsva- rande sätt via SGSI eller andra säkra kryptografiska informations- och kommunikationssystem. MSB kommer verka för ökad anslut- ning till SGSI och leda utvecklingen av andra tekniska system för kommunikation inför och under höjd beredskap och för sam- hällsviktig verksamhet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">140</P> </DIV> </DIV> <DIV id="page_141"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p249 ft33"><SPAN class="ft33">7.4</SPAN><SPAN class="ft48">Aktuella undersökningar</SPAN></P> <P class="p278 ft16"><SPAN class="ft16">7.4.1</SPAN><SPAN class="ft63">Riksrevisionens rapport</SPAN></P> <P class="p210 ft13">Riksrevisionen har år 2014 granskat om arbetet med informations- säkerhet i den civila statsförvaltningen är ändamålsenlig utifrån ökande hot och risker, <SPAN class="ft34">Informationssäkerhet i den civila statsförvalt- ningen </SPAN>(RIR 2014:23). Granskningen har inriktats mot den inform- ation som samlats in om vilka hot som realiseras samt de skydds- åtgärder som har vidtagits av övriga myndigheter.</P> <P class="p15 ft38">Granskningen omfattar regeringen och dess stöd- och tillsyns- myndigheter: Säkerhetspolisen, Myndigheten för samhällsskydd och beredskap, Försvarets radioanstalt samt i viss mån Post- och telestyrelsen. Granskningen avser att besvara följande två frågor.</P> <P class="p386 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Är regeringens styrning av informationssäkerhet i den civila statsförvaltningen effektiv?</SPAN></P> <P class="p187 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">Har regeringens stöd- och tillsynsmyndigheter vidtagit tillräck- liga åtgärder för att informera sig och regeringen om vilka hot som finns mot den civila statsförvaltningen, i vilken omfattning de realiseras och vilka skyddsåtgärder som vidtas?</SPAN></P> <P class="p219 ft13">Granskningen har visat på omfattande brister i statsförvaltningen. Av underlaget till granskningen framgår att 84 procent av myndig- heterna som själva administrerar sina <NOBR>it-system</NOBR> uppger att de har en informationssäkerhetspolicy. Samtidigt framgår att 38 procent av myndigheterna bedömer att kompetens, mandat eller resurser är otillräckliga för att utföra informationssäkerhetsarbetet på ett till- fredsställande sätt. Vidare uppger 42 procent av myndigheterna att det saknas regler för vad en riskanalys, som ska göras i ett systema- tiskt informationssäkerhetsarbete, ska omfatta eller när den ska ske. Slutligen uppger 65 procent av myndigheterna att de saknar en kontinuitetsplan. Riksrevisionens bedömning är därför att en stor andel myndigheter inte har centrala delar av ett systematiskt in- formationssäkerhetsarbete på plats.</P> <P class="p59 ft38">Riksrevisionens slutsats är att granskningen visar att arbetet med informationssäkerheten inte är ändamålsenligt sett till de hot och risker som finns. Regeringen har inte någon samlad lägesbild över hoten mot den civila statsförvaltningen, i vilken omfattning och mot vilka hoten realiseras samt vilka skyddsåtgärder myndig-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">141</P> </DIV> </DIV> <DIV id="page_142"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p387 ft10">heterna vidtar. Detsamma gäller för regeringens stöd- och tillsyns- myndigheter.</P> <P class="p388 ft10">För att förbättra statens informationssäkerhet rekommenderar Riksrevisionen därför regeringen följande:</P> <P class="p389 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Utöka tillsynen av informationssäkerheten i den civila statsför- valtningen, så att den omfattar väsentligt mer än endast de allra mest skyddsvärda delarna.</SPAN></P> <P class="p390 ft13"><SPAN class="ft41"></SPAN><SPAN class="ft24">Låt utreda om regelverket som styr arbetet med informationssä- kerheten är ändamålsenligt i sin nuvarande utformning och om ansvar för att utöva tillsyn över informationssäkerheten i den civila statsförvaltningen kan samlas och koordineras på ett bättre sätt än i dag. Dessa brister konstaterade Riksrevisionen redan 2007, och då bristerna fortfarande inte är åtgärdade är det angeläget med en skyndsam hantering.</SPAN></P> <P class="p391 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">Överväg att låta tillsynsmyndigheten få mandat att utfärda sank- tioner mot myndigheter som inte vidtar nödvändiga åtgärder efter en tillsyn som visat på brister.</SPAN></P> <P class="p391 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Inför snarast en obligatorisk incidentrapportering för samtliga myndigheter. Ge en myndighet i uppdrag att hantera denna rap- portering.</SPAN></P> <P class="p392 ft13">Riksrevisionen konstaterar att det inte finns någon samlad central funktion i Regeringskansliet med ansvar för att bereda frågor om informationssäkerhet i statsförvaltningen och att ärenden rörande informationssäkerhet hanteras på flera departement beroende på ärendets karaktär (intern styrning och kontroll, förvaltningspolitik, krishantering, infrastruktur, etc.). Riksrevisionen anser att inform- ationssäkerhet är en viktig strategisk fråga för hela statsförvalt- ningen, att det krävs kraft i styrningen för att skyddet ska kunna höjas till en ändamålsenlig nivå. För att skapa bättre förutsättningar för en effektiv styrning i informationssäkerhet rekommenderar därför Riksrevisionen följande.</P> <P class="p333 ft9"><SPAN class="ft41"></SPAN><SPAN class="ft23">Se till att det finns en funktion och en process i Regerings- kansliet med syfte att samlat hantera informationssäkerheten. Denna funktion och process ska kunna bereda alla de ärenden regeringen måste besluta om för att öka informationssäkerheten i statsförvaltningen. Funktionen ska också vara mottagare av</SPAN></P> </DIV> <DIV id="id_3"> <P class="p4 ft20">142</P> </DIV> </DIV> <DIV id="page_143"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p393 ft8">MSB:s information om en samlad lägesbild och annan nödvän- dig information om läget för informationssäkerheten i statsför- valtningen.</P> <P class="p394 ft9">Beträffande regeringens stöd- och tillsynsmyndigheter anges att Riksrevisionen i granskningen kunnat visa att de inom nuvarande mandat skulle kunna göra mera, både genom att öka kunskapen om säkerhetsläget och att lämna stöd till den övriga statsförvaltningen för att öka skyddet. För att förbättra statens informationssäkerhet lämnar Riksrevisionen följande rekommendationer.</P> <P class="p395 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">MSB bör fortsätta och även intensifiera sitt arbete med att söka skapa en gemensam lägesbild för informationssäkerhet i stats- förvaltningen.</SPAN></P> <P class="p396 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">MSB har enligt 9 § andra stycket förordningen (2006:942) om krisberedskap och höjd beredskap möjlighet att begära att flera myndigheter än i dag lämnar en redovisning av sin risk- och sår- barhetsanalys till Regeringskansliet och MSB. MSB bör utnyttja denna möjlighet för att därigenom öka den samlade kunskapen om informationssäkerhetsläget och därigenom kunna bidra till en förbättring.</SPAN></P> <P class="p397 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">MSB bör lämna de myndigheter som inte uppfyller kraven i föreskrifterna om statliga myndigheters informationssäkerhet (MSBFS 2009:10) det stöd som är nödvändigt, så att de uppnår efterlevnad inom rimlig tid.</SPAN></P> <P class="p398 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Såväl Säkerhetspolisen som FRA genererar viktig kunskap om säkerhetsläget inom den mest skyddsvärda delen av statsförvalt- ningen. Säkerhetspolisen och FRA bör därför var för sig syste- matiskt avge aggregerade rapporter om säkerhetsläget till Rege- ringskansliet och MSB.</SPAN></P> <P class="p399 ft16"><SPAN class="ft16">7.4.2</SPAN><SPAN class="ft63">En bild av myndigheternas informationssäkerhetsarbete 2014</SPAN></P> <P class="p400 ft8">Under 2014 har MSB genomfört en kartläggning (enkätundersök- ning) av hur statliga myndigheter tillämpar MSB:s föreskrifter om statliga myndigheters informationssäkerhet (2009:10) och i övrigt</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">143</P> </DIV> </DIV> <DIV id="page_144"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p338 ft9">arbetar med informationssäkerhet, <SPAN class="ft14">En bild av myndigheternas in- formationssäkerhetsarbete 2014 – tillämpning av MSB:s föreskrifter.</SPAN></P> <P class="p103 ft13">Föreskrifterna ställer krav på att myndigheterna ska bedriva ett systematiskt informationssäkerhetsarbete. Totalt distribuerades enkäten till 351 myndigheter. 334 myndigheter (drygt 95 procent) besvarade enkäten inom undersökningsperioden och övriga (17 stycken) har inte lämnat något svar. Kartläggningen ger en god bild av hur myndigheterna själva uppfattar sitt arbete med informa- tionssäkerhet och hur de arbetar med föreskrifternas olika krav. Frågorna i kartläggningen hade både direkt koppling till före- skrifternas paragrafer, exempelvis om riskanalys, och frågor av mer generell karaktär beträffande informationssäkerhetsarbete.</P> <P class="p71 ft8">MSB har inte tagit del av något underlag från myndigheterna, exempelvis policyer eller informationsklassningsmodeller, och någon närmare bedömning av dokumentens och arbetets ändamåls- enlighet ingår inte i kartläggningen.</P> <P class="p72 ft8">Frågor om hur det praktiska informationssäkerhetsarbetet går till har endast ställts till de 227 myndigheter som själva har hand om sitt informationssäkerhetsarbete. Det är således endast dessa som fått besvara enkäten i sin helhet.</P> <P class="p401 ft10">Några av resultaten har sammanfattats på följande sätt <NOBR>(s.7–8).</NOBR></P> <P class="p63 ft16">Policy och styrande dokument</P> <P class="p402 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">84 procent av de myndigheter som besvarat hela enkäten har en informationssäkerhetspolicy.</SPAN></P> <P class="p214 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">26 procent av de myndigheter som besvarat hela enkäten kontrollerar inte efterlevnaden, det vill säga ifall policyer och riktlinjer följs av medarbetarna.</SPAN></P> <P class="p158 ft16">Leda och samordna informationssäkerhetsarbetet</P> <P class="p403 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">74 procent av de myndigheter som besvarat hela enkäten har utsett en informationssäkerhetschef eller motsvarande roll för att leda och samordna informationssäkerhetsarbetet.</SPAN></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">144</P> </DIV> </DIV> <DIV id="page_145"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p115 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">81 procent av de som leder och samordnar informations- säkerhetsarbetet hos de myndigheter som besvarat hela enkäten rapporterar direkt till myndighetens ledning.</SPAN></P> <P class="p108 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">38 procent av de som leder och samordnar informations- säkerhetsarbetet hos de myndigheter som besvarat hela enkäten uppges sakna tillräcklig kompetens, resurser eller mandat för att utgöra uppdraget på ett tillfredsställande sätt.</SPAN></P> <P class="p67 ft16">Informationsklassning</P> <P class="p404 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">67 procent av de myndigheter som besvarat hela enkäten har en informationsklassningsmodell för att identifiera informations- tillgångarna och kunna ställa rätt krav på informationssäker- heten.</SPAN></P> <P class="p357 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">41 procent av de myndigheter som besvarat hela enkäten uppger att det inte är tydligt uttalat vem som ansvarar för att inform- ationsklassning genomförs.</SPAN></P> <P class="p405 ft12"><SPAN class="ft41"></SPAN><SPAN class="ft86">59 procent av de myndigheter som besvarat hela enkäten uppger att det inte är fastslaget när informationsklassning ska ske.</SPAN></P> <P class="p131 ft16">Riskanalys och dokumentation</P> <P class="p406 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">78 procent av de myndigheter som besvarat hela enkäten har en metod för riskanalys.</SPAN></P> <P class="p407 ft88"><SPAN class="ft41"></SPAN><SPAN class="ft87">42 procent av de myndigheter som besvarat hela enkäten saknar regler för vad riskanalyser ska omfatta eller när det ska ske.</SPAN></P> <P class="p106 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">35 procent av de myndigheter som besvarat hela enkäten saknar uttalat ansvar för vem som ska initiera riskanalyserna.</SPAN></P> <P class="p69 ft16">Kontinuitetsplanering</P> <P class="p406 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">65 procent av de myndigheter som besvarat hela enkäten saknar kontinuitetsplan.</SPAN></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">145</P> </DIV> </DIV> <DIV id="page_146"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p408 ft12"><SPAN class="ft41"></SPAN><SPAN class="ft86">59 procent av de myndigheter som besvarat hela enkäten använ- der inte riskanalyserna som stöd vid kontinuitetsplanering.</SPAN></P> <P class="p131 ft16">Ledningens engagemang</P> <P class="p356 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">45 procent av de myndigheter som besvarat hela enkäten uppger att myndighetens ledning åtminstone i stor utsträckning löpande håller sig informerade om arbetet med informations- säkerhet.</SPAN></P> <P class="p409 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">37 procent av de myndigheter som besvarat hela enkäten har ingen eller en mycket begränsad utvärdering av informations- säkerhetsarbetet på myndigheten.</SPAN></P> <P class="p410 ft16">Behov av stöd</P> <P class="p356 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Myndigheterna nämnde ett antal områden inom vilka man öns- kade mer stöd, bland annat kravställning, uppföljning, inform- ationsklassning och kontinuitetsplanering.</SPAN></P> <P class="p355 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Myndigheterna önskade sig stöd i flera olika former, bland annat nämndes malldokument, utbildningsdokument, vägled- ningar och praktiska exempel.</SPAN></P> <P class="p191 ft33"><SPAN class="ft33">7.5</SPAN><SPAN class="ft48">Tekniska funktioner för skyddad kommunikation</SPAN></P> <P class="p278 ft16"><SPAN class="ft16">7.5.1</SPAN><SPAN class="ft63">Krypto och signalsskydd</SPAN></P> <P class="p10 ft16">Krypto</P> <P class="p142 ft9">Under rubriken krypto ryms en mängd begrepp och metoder som i dag alla bygger på matematisk teoretisk grund. Historiskt sett är ett krypto en metod att förvanska en text eller ett budskap så att avsändaren kan vara säker på att den legitima mottagaren är den ende som kan läsa eller tolka budskapet rätt. Avsikten var också att mottagaren skulle vara övertygad om vem avsändaren var. Nödvän- digt, då som nu, var att mottagaren kände till meddelandets hem- liga nyckel. En kryptonyckel kan sägas vara den minsta inform- ationsmängd som behövs för att fullständigt återskapa det krypte-</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">146</P> </DIV> </DIV> <DIV id="page_147"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p283 ft13">rade meddelandets information. Dessa principer gäller fortfarande, men de historiska metoderna har ersatts efter hand, och kryptologi är i dag ett forskningsområde inom flera akademiska discipliner. Även moderna krypteringsmetoder har i vissa fall visat sig olämp- liga eller mindre säkra än vad som först bedömdes. Detta kan bero på nya teoretiska landvinningar, kraftfullare datorer för krypto- analys eller att krypteringsmetoden fått annan användning.</P> <P class="p69 ft16">Kryptoanalys</P> <P class="p256 ft13">Kryptoanalys kan vara antingen (a) att på ett metodiskt sätt för- säkra sig om att en metod för kryptering uppfyller givna krav på säkerhet och funktion, eller, i princip det omvända, (b) att givet resultatet av en kryptering med alla medel försöka återskapa den dolda informationen eller den okända krypteringsnyckeln. En grov beskrivning är att säga att kryptoanalys (a) bedrivs inom signal- skyddsutvecklingen, medan kryptoanalys (b) försiggår inom sig- nalunderrättelseverksamheten. Två traditionellt sett organisatoriskt åtskilda aktiviteter, men där fördelar finns med en närmare relation och ett kunskapsutbyte. Särskilt i riktningen från signalunderrättel- severksamheten till signalskyddsutvecklingen och informations- och cybersäkerhetsarbetet, där vunna erfarenheter kan komma samhället till nytta då det gäller att bygga en säker it <NOBR>-infrastruktur.</NOBR></P> <P class="p69 ft16">Design av krypto</P> <P class="p10 ft10">Ett system för informationssäkerhet eller kommunikationssäkerhet</P> <P class="p198 ft8">– ett kryptosystem eller ett kryptografiskt protokoll – byggs upp av kryptografiska primitiver som var för sig står för grundläggande egenskaper viktiga för ett krypterande system anpassat till en viss användning. Exempel på primitiver är slumptalsgeneratorer (pseudo random number generator, PRNG), envägsfunktioner <NOBR>(one-way</NOBR> function) och naturligtvis krypteringsfunktioner. Säker- heten hos primitiverna styrks genom att applicera kända attacker och angrepp, och på så sätt få ett visst mått på säkerheten i form av en uppskattning av den tid och datorkraft som skulle krävas för en lyckad attack. Nya attacker upptäcks dock ständigt, och revidering av säkerhetsbedömningen kan behöva göras.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">147</P> </DIV> </DIV> <DIV id="page_148"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p211 ft8">Vid design av ett krypto eller kryptosystem är det av största vikt att ta hänsyn till vad kryptot ska användas till. Avvägningar måste göras vad gäller krypteringshastighet, effektförbrukning, minnes- utrymme, nyckelhantering, driftsäkerhet, nationella krav, m.m. Alla dessa faktorer påverkar valet av primitiver och kryptosystemets slutliga utformning.</P> <P class="p63 ft16">Forcering av krypto</P> <P class="p159 ft13">Att forcera, eller knäcka, krypton är en historiskt sett alltid lika aktuell och fascinerade verksamhet. Att forcera ett krypterat med- delande är att med kryptoanalys, beräkningar och databehandling samt eventuellt med hjälp av någon egenskap hos den dolda in- formationen återvinna hela eller delar av meddelandets innehåll. Det är alltså inte givet att en lyckad forcering också leder till att den hemliga meddelandenyckeln klarläggs.</P> <P class="p226 ft13">I de fall krypteringsmetoden är känd och den hemliga nyckeln består av ett lösenord är det enkelt att knäcka kryptot om lösen- ordet är kort eller illa konstruerat. Då prövar kryptoforceraren helt enkelt att dekryptera med alla korta och alla sannolika längre lösenord tills en läsbar text, bild eller annan meningsfull inform- ation erhålls. Vanligt är att krypteringsmetoden är implementerad så att riktigheten hos ett lösenord kan kontrolleras innan dekrypte- ring startar, och detta utnyttjar i så fall forceraren. I detta fall, då man finner ett lösenord genom totalprövning, så talar vi inte om kryptoanalys i egentlig mening eftersom krypteringsmetodens eller kryptots matematiska egenskaper inte utnyttjas.</P> <P class="p104 ft9">Metoder för kryptering konstrueras, analyseras och utvärderas av såväl den offentliga forskarvärlden som inom myndigheter och organisationer knutna till nationell säkerhet. Standardiseringsorgan och industrigrupper arbetar fram standarder för hur krypterings- metoder ska implementeras och användas. Nationella säkerhets- myndigheter granskar kryptosystem och utarbetar regler för dess användning innan de godkänns för att skydda information som rör nationens säkerhet eller annan skyddsvärd information. Likväl kan kryptoforceraren under vissa omständigheter ha framgång.</P> <P class="p103 ft8">Krypteringsmetodens svagheter, ett insteg som utnyttjas vid forceringsarbetet, kan bero på att de förutsättningar och antagan-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">148</P> </DIV> </DIV> <DIV id="page_149"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p283 ft8">den som gällde vid teoretiska analysen inte alltid föreligger då metoden används i praktiken. Avvägningar mellan användarvänlig- het, effektivitet, okunskap och kommersiella hänsyn kan bidra till att mer eller mindre kalkylerade risker accepteras när en standard utformas. Det kan t.ex. vara upp till användaren att göra även säkerhetskritiska konfigureringar när ett krypterande protokoll används för informationsöverföring. Och även om informations- systemet i sig är tillförlitligt, så kan felaktigt handhavande eller brister i nyckelhanteringen bidra till att en kryptoforcerare med tillräckligt stora resurser når framgång.</P> <P class="p15 ft13">Under förutsättning att forceraren har tillgång inte bara till den krypterade informationen utan även till det program eller den ut- rustning som utfört krypteringen så öppnar sig andra möjligheter. Det kan vara reverse engineering, som innebär att kryptoutrust- ningens konstruktion och funktion återskapas in i minsta detalj, och att hemliga parametrar på så sätt eventuellt klarläggs. En annan möjlighet är en s.k. sidokanalsattack, där man studerar ström- förbrukning eller annan läckande information, som avslöjar krypto- utrustningens interna tillstånd under krypteringsprocessen.</P> <P class="p69 ft16">Signalskydd och krypto för skyddsvärda uppgifter (KSU)</P> <P class="p90 ft8">Signalskydd är åtgärder som syftar till att förhindra obehörig insyn i och påverkan av tele- och radiokommunikationer. Signalskydd omfattar bl.a. användning av kryptografiska funktioner i inform- ationssystem. Termen signalskydd har sina rötter i den avlyssning genom signalspaning som ständigt pågår mot telekommunikations- och informationssystem som en väsentlig del av främmande makts underrättelsetjänst</P> <P class="p14 ft8">Begreppet signalskydd är starkt reglerat och avser obligatoriskt skydd av elektronisk kommunikation av sekretessbelagda uppgifter som rör rikets säkerhet. Signalskyddssystemens skyddsnivå är dimensionerad att möta hotbilden från andra länders underrättel- setjänster och kräver därför omfattande skyddsåtgärder samt att systemen är företrädesvis är framtagna av en inhemsk kryptoindu- stri.</P> <P class="p13 ft8">Behovet av att skydda elektronisk kommunikation i bredare mening än för rikets säkerhet har kommit att bli allt mer aktuellt.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">149</P> </DIV> </DIV> <DIV id="page_150"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p178 ft13">Därför har det på senare år tagits fram krypto för skyddsvärda uppgifter (KSU). KSU utgörs av kryptosystem som tillsammans med ett regelverk är nationellt godkända av Försvarsmakten och kan användas vid elektronisk kommunikation av sekretessbelagda uppgifter som inte rör rikets säkerhet. KSU är alltså ingen ersätt- ning utan ett komplement till signalskydd. Termen ”säkra krypto- grafiska” funktioner avser både signalskydd och KSU. Målsätt- ningen med KSU är att kvalitetssäkrade och kommersiellt tillgäng- liga produkter, tillsammans med ett av Försvarsmakten framtaget regelverk och en för organisationen anpassad hantering, ska kunna höja säkerhetsnivån jämfört med i dag.</P> <P class="p271 ft8">För att system som använder säkra kryptografiska funktioner ska kunna ge ett effektivt skydd krävs att hela processen, allt från generering av kryptonycklar till slutanvändarnas hantering av systemet, håller en nivå som är anpassad för den information som systemet avser att skydda. Genom nationellt godkännande säker- ställs skyddsnivån och kvaliteten på såväl teknik som regelverk, rutiner och behörighetsutbildning.</P> <P class="p411 ft8">I dag har över 160 organisationer godkända signalskyddssystem. För civilt bruk finns 17 godkända signalskyddssystem inom pro- duktområdena datakommunikation, meddelandekrypton och tal- krypton. Dessa system är gemensamma för Försvarsmakten och civila sektorn. Det finns endast ett godkänt <NOBR>KSU-krypto</NOBR> (fil- kryptot KGAI). Detta är dock det nationellt mest utbredda kryp- tosystemet.</P> <P class="p271 ft8">Traditionellt har signalskydd framförallt varit en militär angelä- genhet, där det gällt att skydda sin egen kommunikation mot fient- lig signalspaning. Historiskt har det militära behovet av signal- skydd ensamt motiverat omfattande statliga satsningar på ut- veckling av signalskyddssystem.</P> <P class="p270 ft8">Det civila behovet har uppstått genom samordningsbehov mellan militärt och civilt försvar inom ramen för totalförsvaret. 1959 skapades därför en totalförsvarsgemensam signalskydds- struktur då Statens signalskyddsnämnd (SN) bildades. Efter det kalla kriget har inriktningen av den civila signalskyddsverksam- heten även kopplats till krisberedskap. I 1992 års försvarsbeslut fick den civila delen av totalförsvaret även uppgift att värna civil- befolkningen under kriser. I 1996 års försvarsbeslut kom det vid- gade säkerhetsbegreppet. Definitionen av totalförsvaret ändrades</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">150</P> </DIV> </DIV> <DIV id="page_151"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p283 ft13">inte utan insikten om samhällets säkerhet och den vidgade hot- bilden ledde fram till Sårbarhets- och säkerhetsutredningen 2001. Ansvaret för den civila inriktningen och materielförsörjningen övertogs av Krisberedskapsmyndigheten (KBM) från Överstyrel- sen för civil beredskap när KBM inrättades 2002. När KBM lades ned 2008 övergick inriktningsansvaret den civila signalskyddsverk- samheten till den nybildade myndigheten MSB och materiel- försörjningen till FRA. Den civila signalskyddsverksamheten regle- ras i Krisberedskapsförordningen.</P> <P class="p14 ft8">År 2007 fick Försvarsmakten i myndighetens instruktion upp- draget att, utöver signalskyddstjänsten, även leda och samordna arbetet med säkra kryptografiska funktioner som är avsedda att skydda skyddsvärd information.</P> <P class="p14 ft8">Under senare år har behovet av kryptografiska funktioner för internationell verksamhet ökat markant, särskilt inom EU och NATO. Under 2011 blev Sverige en godkänd <NOBR>andraparts-evaluerare</NOBR> av krypto inom EU. Denna funktion, AQUA (Appropriately Qualified Authority), innehas av Försvarsmakten. Det finns i dag fem svenska kryptosystem som godkänts av Europeiska unionens råd.</P> <P class="p243 ft16"><SPAN class="ft16">7.5.2</SPAN><SPAN class="ft63">Sensorsystem</SPAN></P> <P class="p210 ft8">För att skydda information och upptäcka <NOBR>it-säkerhetsincidenter</NOBR> har dagens organisationer ofta ett antal olika säkerhetssystem installe- rade. Det handlar exempelvis om virusskydd, brandväggar, spam- filter och olika intrångsdetekteringssystem. Effektiviteten hos dessa system när det gäller att detektera och hantera <NOBR>it-säkerhets-</NOBR> incidenter med hjälp av olika sensorer beror i stor utsträckning på de kommersiella aktörernas tillgängliga data om skadlig kod, infekterade <NOBR>IP-adresser</NOBR> och motsvarande.</P> <P class="p15 ft9">System som använder sensorer för att upptäcka intrång och angrepp (sensorsystem) kan vara utformade på olika sätt och ha som syfte att inte bara stärka organisationens utan även samhällets säkerhet. Vid angrepp som drabbar kritisk infrastruktur och sam- hällsviktig verksamhet på bredare front saknas det för närvarande möjlighet att skapa en sammanhållen lägesbild. I dag förfogar nät- operatörerna, säkerhetsföretag och andra aktörer var och en över</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">151</P> </DIV> </DIV> <DIV id="page_152"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">sin del av lägesbilden, ingen har direkt tillgång till en helhetsbild. Angrepp eller skadlig kod som drabbar flera verksamheter sam- tidigt riskerar att uppfattas som mindre allvarliga och som enstaka attacker. Det innebär även en risk att varningar samt kunskap om attackens utformning, konsekvenser och möjliga förebyggande åtgärder inte sprids till andra aktörer som kan drabbas av samma angrepp.</P> <P class="p103 ft8">Ett sensorsystem består mycket förenklat av tekniska sensorer, en kommunikationslösning och en central funktion för analys som till sin hjälp för att upptäcka angrepp och skadlig kod har en för- teckning över aktuella skadliga koder och <NOBR>IP-adresser.</NOBR> Sensorerna skannar trafik hos anslutna organisationer och om en kod eller IP- adress som finns angiven i förteckningen fångas upp skickas ett larm som kan gå såväl till den verksamhet som är utsatt för it- angreppet som till en central analysfunktion.</P> <P class="p206 ft16"><SPAN class="ft16">7.5.3</SPAN><NOBR><SPAN class="ft63">It-incidentrapportering</SPAN></NOBR></P> <P class="p155 ft13">I dagsläget finns två former av rapportering av <NOBR>it-incidenter;</NOBR> opera- tiv <NOBR>it-incidentrapportering</NOBR> som sker med frivillighet som grund, och obligatorisk <NOBR>it-incidentrapportering</NOBR> som genomförs kopplat till tillsynsarbete. Det föreligger en viss skillnad emellan de olika formerna av rapportering. Den operativa rapporteringen sker i samverkanssyfte för att dela information och kunskap om inträf- fade incidenter. Genom att kontinuerligt samla information om och analysera <NOBR>it-incidenter</NOBR> utvecklas kunskapen inom detta om- råde. <NOBR>It-incidentrapportering</NOBR> som är kopplad till tillsyn utförs för att skapa underlag för en granskning som sker i ett särskilt syfte.</P> <P class="p110 ft8">EU:s arbete med reglering av <NOBR>it-incidentrapportering</NOBR> inom medlemsstaterna präglas av att en enhetlig modell för rapporte- ringen utvecklas inom området. Denna modell återfinns bl.a. i kommissionens förordning 611/2013 av den 24 juni 2013 om åt- gärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig integritet och elektronisk kommunikation, artikel 2. Förordningen ligger till grund för operatörernas skyldighet att rapportera integritetsincidenter enligt lagen (2003:389) om elektronisk kommunikation (LEK). En skyldighet att rapportera</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">152</P> </DIV> </DIV> <DIV id="page_153"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p145 ft8">incidenter av samma modell finns även i Europaparlamentet och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direk- tiv 1999/93/EG, eIDAS, artikel 19. eIDAS börjar tillämpas från den 1 juli 2016.</P> <P class="p148 ft13">Operatörerna inom sektorn elektronisk kommunikation om- fattas av en skyldighet att rapportera störningar avseende drift- säkerhet, 5 kap. 6 c § LEK, och integritetsincidenter, 6 kap. 4 a § LEK. Rapportering av incidenter sker till sektorsansvarig myndig- het, PTS. Syftet med operatörernas rapporteringsskyldighet är att skapa ett informativt underlag om inträffade incidenter. Underlaget granskas och utgör i förekommande fall grund för tillsynsärenden.</P> <P class="p148 ft37">EU:s reform av reglerna om skydd för personuppgifter inne- håller en skyldighet att rapportera <NOBR>it-incidenter.</NOBR> Sker ett data- intrång ska den nationella tillsynsmyndigheten (i Sverige Data- inspektionen) och de som berörs av intrånget informeras inom 24 timmar. Reformförslaget innebär att Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) ska ersättas av en ny allmän dataskyddsförordning. Dataskydds- direktivet har i Sverige genomförts genom personuppgiftslagen (1998:204) och ett antal särregleringar i förhållande till denna lag (särskilda registerförfattningar).</P> <P class="p412 ft13">Sveriges <NOBR>it-incidentcentrum</NOBR> (Sitic) bildades 2003 på PTS som en nationell funktion med uppgift att stödja samhället i arbetet med att hantera och förebygga <NOBR>it-incidenter.</NOBR> Sitic fungerade som en nationell <NOBR>CERT-organisation,</NOBR> dvs. en rikscentral för <NOBR>it-incident-</NOBR> rapportering. 2011 omorganiserades Sitic till MSB och bytte namn till <NOBR>CERT-SE.</NOBR> <NOBR>CERT-SE</NOBR> är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stödja samhället i arbetet med att hantera och förebygga <NOBR>it-incidenter.</NOBR> Det finns även andra CERT:ar hos bl.a. Försvarsmakten som hanterar it- säkerhetsincidenter inom de egna organisationerna och samverkar med andra <NOBR>CERT-funktioner</NOBR> vid <NOBR>it-incidenter</NOBR> och i informations- säkerhetsfrågor.</P> <P class="p204 ft13">För att stärka samhällets informationssäkerhet och förmåga att förebygga och hantera <NOBR>it-incidenter</NOBR> beslutade regeringen att ge</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">153</P> </DIV> </DIV> <DIV id="page_154"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p70 ft8">MSB i uppdrag att utreda hur ett system för obligatorisk it- incidentrapportering för statliga myndigheter kan utformas (Fö2010/701/SSK). Uppdraget redovisades 2011 och föreslog en dubbelriktad rapporteringsprocess för inrapportering till <NOBR>MSB/CERT-SE</NOBR> och återkoppling till berörda parter. Det bedöm- des att en kontinuerlig <NOBR>it-incidentrapportering</NOBR> hos statliga myn- digheter skulle kunna bidra till en aktuell lägesbild av tillståndet vid samhällsviktig verksamhet och kritisk infrastruktur.</P> <P class="p226 ft9">Regeringen återförde uppgiften till MSB 2012 (Fö2012/717/SSK) med uppdraget att genomföra en fördjupad analys av förslaget om system för obligatorisk <NOBR>it-incidentrapportering</NOBR> för statliga myndig- heter som myndigheten redovisade 2011. I uppdragsredovisningen lämnade MSB förslag på ett nationellt system för <NOBR>it-incident-</NOBR> rapportering. Enligt förslaget skulle det bli obligatoriskt för statliga myndigheter under regeringen att ansluta sig till systemet och frivilligt för övriga aktörer. En grundläggande utgångspunkt var att systemet för obligatorisk och frivillig <NOBR>it-incidentrapportering</NOBR> skulle utformas på ett sådant sätt att det skapas mervärde för anslutna aktörer. Systemet skulle bidra till ökad informationssäkerhet och förmåga till kris- beredskap både på organisations- och samhällsnivå. I redovisningen påpekas att de rapporterande organisationernas förtroende för it- incidentrapporteringssystemet är centralt för dess funktion och effekt. Vidare konstaterades att det redan i dag finns incidentrapporterings- system för specifika syften. I uppdraget ingick inte att utforma ett system som ersätter denna typ av rapporteringssystem. Det föreslagna systemet skulle inte ersätta anmälningar om brottslig verksamhet till Polismyndigheten.</P> <P class="p195 ft16"><SPAN class="ft16">7.5.4</SPAN><SPAN class="ft63">Skyddad kommunikationsinfrastruktur</SPAN></P> <P class="p254 ft8">God informationssäkerhet kräver en informationsinfrastruktur som medger säker hantering av information och kommunikation. Informationsinfrastrukturen bör fungera för såväl normala för- hållanden som för krisberedskap och för totalförsvarets behov med bibehållande av en hög nivå av informationssäkerhet.</P> <P class="p103 ft38">Regeringen gav den 14 april 2010 MSB i uppdrag att senast den 1 mars 2011 lämna förslag beträffande en säker digital inform- ations- och kommunikationsstruktur för myndigheter, kommuner</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">154</P> </DIV> </DIV> <DIV id="page_155"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p413 ft9">och landsting (Fö2010/701/SSK). MSB genomförde uppdraget i samråd med andra aktörer, bl.a. SAMFI, FOI, Skatteverket samt Delegationen för <NOBR>e-förvaltning.</NOBR> I uppdraget ingick att beakta såväl befintliga kommunikationsinfrastrukturer, kommersiella system samt alternativa förslag. Samråd skulle även ske med Försvarsmak- ten samt Försvarets radioanstalt i syfte att analysera hur befintliga eller kommande kryptosystem kan användas för att skydda skydds- värd eller sekretessbelagd information. Uppdragsredovisningen föranledde inga vidare åtgärder från regeringen.</P> <P class="p148 ft9">Det finns flera informationsinfrastrukturer för offentlig sektor. Försvarsmakten är systemägare av Försvarsmaktens Telenät (FTN) och Försvarsmaktens <NOBR>IP-nät</NOBR> (FMIP). Mer om FTN i följande avsnitt. Nätens robusthet och redundans är anpassade efter Försvarsmaktens behov. Trafiken går krypterad över Försvarsmaktens egen radiolänk, samt i förhyrd fiber i privata nät som leds trafikskyddad till Försvarsmaktens egna noder. Trafiken i FMIP är krypterad med Försvarsmaktens egen kryptering och Försvarsmakten elförsörjer sina egna nät. Externa aktörer vars verksamhet är av kritisk betydelse för samhället har tillgång till FTN och FMIP.</P> <P class="p245 ft8">Swedish Government Secure Internet, (SGSI) etablerades ur- sprungligen för att tillgodose behovet av skyddad kommunikation mellan svenska myndigheter och <NOBR>EU-myndigheter.</NOBR> Det är ett vir- tuellt nät som är logiskt separerat från det allmänna kommuni- kationsnätet och som medger krypterad kommunikation med de andra aktörer som är anslutna till nätet. SGSI är anslutet till EU:s säkerhetsskyddade kommunikationsnät, sTESTA (secure Trans European Services for Telematics between Administrations) via en gateway. SGSI administreras av MSB. Försvarsmakten ansvarar för drift av knutpunkt samt kryptering.</P> <P class="p277 ft9">För att skapa en skyddad kommunikationsinfrastruktur krävs såväl fysiska som logiska skyddsåtgärder. Arbetet med de fysiska skyddsåtgärderna bedrivs på olika sätt beroende av om staten väljer att bygga, äga och förvalta hela kommunikationsstrukturen själv, eller att hyra svartfiber i existerande privata nät, såsom Teracom, Svenska Kraftnät och liknande aktörer. Det logiska skyddet om- fattar bl.a. ett krypterat skydd för trafiken och andra åtgärder.</P> <P class="p204 ft8">Oavsett vilken lösning som är aktuell är det angeläget att beställaren äger tillräcklig kunskap om vilken säkerhet som krävs för att skydda olika typer av kommunikation. Den statliga förvalt-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">155</P> </DIV> </DIV> <DIV id="page_156"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">ningen omfattar verksamheter vars behov av skydd är av olika karaktär. För att kunna ställa adekvata krav vid upphandling och avtals ingående krävs kunskap om informationssäkerhet och en bred samverkan inom den statliga förvaltningen.</P> <P class="p226 ft37">En säker informationsinfrastruktur för den statliga förvalt- ningen är en förutsättning för dess informationssäkerhet. Det finns i dagsläget alternativ som erbjuder skyddad informationshantering och kommunikation. En avvägning mellan kostnader och behovet av säkerhet behöver ske inför arbetets utveckling. Kostnads- drivande lösningar måste ställas emot behovet av en säker kommu- nikationsinfrastruktur som är dimensionerad för den statliga för- valtningens behov. Skyddet måste vara adekvat och anpassat för att fungera för såväl krisberedskap som för totalförsvarets behov. Det kan dock finnas anledning att särskilt beakta konsekvenserna av att involvera privata aktörer då det i dagsläget inte finns någon regle- ring som kräver att de privata aktörerna inom sektorn elektronisk kommunikation ska bedriva sin verksamhet sammanhållet inom Sverige. Dessutom behöver arbetet med en skyddad kommuni- kationsinfrastruktur ta hänsyn till att det finns frågor avseende det fortifikatoriska skyddet som kvarstår som olösta.</P> <P class="p414 ft16">Försvarets telenät</P> <P class="p86 ft8">Hela vårt moderna samhälle är beroende av att telekommuni- kationerna fungerar bra. Information måste snabbt, säkert och oförvanskad kunna nå fram till rätt mottagare. Detta gäller i särskilt hög grad försvarets olika delar. Såväl i fred som i kris och krig kan störningar i teletrafiken få ödesdigra konsekvenser. I Sverige finns ett separat landsomfattande telenät som skapats för att tillgodose militära behov av ett skadetåligt nät för telekommunikationer. Det kallas Försvarets Telenät (FTN) och är uppbyggt som ett komplement till de publika (allmänt tillgängliga, kommersiella) telenäten. FTN är logiskt avskilt från de publika telenäten, vilket är en grundförutsättning för att kunna säkerställa erforderligt samband när publika nät utsätts för extrema påfrestningar och överbelastningar. Erfarenheter visar att även förhållandevis vardagliga händelser kan generera så mycket trafik att publika nät överbelastas.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">156</P> </DIV> </DIV> <DIV id="page_157"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p209 ft9">Anläggningar i FTN:s stomnät utgörs av fortifikatoriskt skyddade byggnader utformade för obemannad teknisk drift. Anläggningarna är militära skyddsobjekt och tillträdeskontrollerade.</P> <P class="p14 ft8">FTN har tillkommit av flera skäl. Det viktigaste är att de mili- tära kraven i vissa avseenden är så höga att de publika telenäten inte uppfyller dem. Ett annat viktigt skäl är att de publika telenäten finns främst i tätbefolkade områden där den kommersiella efter- frågan är störst. Försvaret, å andra sidan, måste kunna verka i hela landet.</P> <P class="p14 ft8">Abonnenterna i FTN är främst förband inom <NOBR>mark-,</NOBR> sjö- och luftstridskrafterna samt bemannade och obemannade anläggningar tillhörande dessa stridskrafter. FTN har även abonnenter inom det civila totalförsvaret och antalet civila abonnenter har ökat med tiden. Luftförsvarsutredningen 2040 skriver följande i betänkandet SOU 2014:88 s. 23:</P> <P class="p257 ft38">”Robusta lednings- och sambandssystem utgör en viktig grund för den sammanlagda funktionen inom luftstridskrafterna. Att säkerställa ett robust, och inom Försvarsmakten väl balanserat gemensamt ledningssystem, är inte bara en fråga för luftförsvaret utan är en betydelsefull komponent i det civila samhället.”</P> <P class="p240 ft33"><SPAN class="ft33">7.6</SPAN><SPAN class="ft48">Samverkan</SPAN></P> <P class="p278 ft16"><SPAN class="ft16">7.6.1</SPAN><SPAN class="ft63">Samverkansgruppen för informationssäkerhet (SAMFI)</SPAN></P> <P class="p210 ft8">I gruppen SAMFI samverkar i dag myndigheter med särskilda upp- gifter och särskilt ansvar inom området informationssäkerhet. Gruppen träffas cirka sex gånger per år och syftet är att underlätta samarbetet genom informationsutbyte och samverkan. De myndig- heter som medverkar är följande.</P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Myndigheten för samhällsskydd och beredskap (MSB)</SPAN></P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Post- och telestyrelsen (PTS)</SPAN></P> <P class="p415 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Försvarets radioanstalt (FRA)</SPAN></P> <P class="p106 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Säkerhetspolisen (Säpo) och Nationella operativa avdelningen (NOA, tidigare Rikskriminalpolisen) i samverkan</SPAN></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">157</P> </DIV> </DIV> <DIV id="page_158"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p122 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Försvarets materielverk (FMV)/Sveriges Certifieringsorgan för </SPAN><NOBR>it-säkerhet</NOBR> (CSEC)</P> <P class="p213 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Försvarsmakten (FM)/Militära underrättelse- och säkerhets- tjänsten (MUST)</SPAN></P> <P class="p215 ft8">SAMFI bildades 2003 efter att regeringens då nya strategi för samhällets informationssäkerhet föreslagits i propositionen <SPAN class="ft35">Sam- hällets säkerhet och beredskap </SPAN>(prop. 2001/02:158). Strategin skulle i huvudsak bäras upp av de fyra myndigheterna Krisberedskapsmyn- digheten (KBM), PTS, FMV samt FRA. För att underlätta sam- arbetet mellan dessa myndigheter bildades SAMFI och i samband med detta inbjöds även FM/MUST samt Säpo och Rikskriminal- polisen att medverka. I samband med att MSB bildades år 2009 övertog myndigheten ansvaret för SAMFI.</P> <P class="p103 ft13">MSB har i samverkan med övriga myndigheter i SAMFI tagit fram strategin för samhällets informationssäkerhet <NOBR>2010–2015.</NOBR> År 2012 publicerade MSB tillsammans med de myndigheter som ingår i SAMFI en handlingsplan som ska stärka informationssäkerheten i samhället och förverkliga strategin, se avsnitt 7.3.2.</P> <P class="p110 ft8">SAMFI verkar för säkra informationstillgångar i samhället avse- ende förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet. Genom informationsutbyte och samverkan stödjer SAMFI deltagande myndigheter varandras arbete avseende samhällets informationssäkerhet.</P> <P class="p72 ft8">SAMFI berör frågeställningar inom huvudsakligen följande aktivitetsområden:</P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Strategi, handlingsplan och regelverk</SPAN></P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Tekniska frågor och standardiseringsfrågor</SPAN></P> <P class="p213 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Nationell och internationell utveckling inom informationssäker- hetsområdet</SPAN></P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Informationsaktiviteter</SPAN></P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Övningar och utbildning</SPAN></P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Hantering och förebyggande av </SPAN><NOBR>it-incidenter</NOBR></P> <P class="p416 ft8">MSB avsätter resurser för ett <NOBR>SAMFI-kansli.</NOBR> Övriga <NOBR>SAMFI–myn-</NOBR> digheter bidrar med resurser vid behov och efter förmåga.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">158</P> </DIV> </DIV> <DIV id="page_159"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p417 ft8">Representanter för de myndigheter som ingår i SAMFI träffas för att diskutera pågående arbete och aktuella frågor inom samhällets informationssäkerhet. Efter koncensus i SAMFI kan arbetsgrupper tillsättas för att arbeta med aktuella frågor. En <NOBR>SAMFI-myndighet</NOBR> har rätt men inte skyldighet att delta i dessa arbetsgrupper. Som exempel på SAMFI:s arbetsgrupper kan nämnas följande.</P> <P class="p106 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">SAMFI Ag Handlingsplan: Arbetsgruppen etablerades för att stödja MSB i arbetet med att ta fram handlingsplanen för sam- hällets informationssäkerhet 2012.</SPAN></P> <P class="p250 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">SAMFI Ag Skyddsprofiler: Arbetsgruppen arbetar med utveck- lingen av skyddsprofiler, enligt standarden Common Criteria, för prioriterade produktkategorier.</SPAN></P> <P class="p108 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">SAMFI Ag Informationssäkerhetskonferens: Arbetsgruppen planerar och genomför den årliga informationssäkerhetskonfe- rensen för offentlig sektor.</SPAN></P> <P class="p357 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">SAMFI Ag Terminologi: Arbetsgruppen har arbetat med att bearbeta underlag för den kommande utgåvan av SIS HB 550</SPAN></P> <P class="p418 ft15">Terminologi för informationssäkerhet.</P> <P class="p419 ft16"><SPAN class="ft16">7.6.2</SPAN><SPAN class="ft63">Nationell samverkan till skydd mot allvarliga </SPAN><NOBR>it-hot</NOBR> (NSIT)</P> <P class="p420 ft8">Säkerhetspolisen, Försvarsmakten (Must) och Försvarets radio- anstalt (FRA) har inom området <NOBR>it-hot</NOBR> sedan 2012 ett samarbete kallat Nationell samverkan till skydd mot allvarliga <NOBR>it-hot</NOBR> (NSIT). Inom ramen för <NOBR>NSIT-samarbetet</NOBR> analyseras och bedöms hot och sårbarheter när det gäller allvarliga eller kvalificerade <NOBR>it-angrepp</NOBR> mot våra mest skyddsvärda nationella intressen. Syftet är att ut- veckla samverkan för att försvåra för en kvalificerad angripare att komma åt eller skada svenska skyddsvärda civila och militära resur- ser.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">159</P> </DIV> </DIV> <DIV id="page_160"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p339 ft16"><SPAN class="ft16">7.6.3</SPAN><SPAN class="ft63">Nationella telesamverkansgruppen (NTSG)</SPAN></P> <P class="p75 ft13">Inom sektorn elektronisk kommunikation arbetar bl.a. de största operatörerna i den nationella telesamverkansgruppen NTSG. NTSG har initierats av PTS och är ett frivilligt samarbetsforum med syfte att stödja återställandet av den nationella infrastrukturen för elektroniska kommunikationer vid extraordinära händelser i samhället. I gruppen ingår bl.a. operatörer, Svenska Kraftnät, Teracom, Trafikverket ICT, Försvarsmakten, Myndigheten för samhällsskydd och beredskap samt Post- och telestyrelsen.</P> <P class="p226 ft9">Gruppen verkar i syfte att stödja återställandet av den nationella infrastrukturen för elektroniska kommunikationer vid extraordinära händelser i samhället. Vid stora kriser eller extraordinära händelser kan det uppstå situationer som underlättas av att operatörerna bistår varandra. Vid en kris sammanställer gruppen skadeläget, åter- rapporterar läget till berörda parter och ger vid behov förslag till åtgärder. Gruppen kan också om så krävs, koordinera insatser.</P> <P class="p104 ft13">I NTSG bedrivs arbetet med Gemensam lägesuppfattning (GLU). Syftet med GLU är att reducera störningar och minska effekten av dem för andra sektorer i samhället vars verksamhet är beroende av elektronisk kommunikation. Syftet är också att öka samhällets förmåga att hantera konsekvenser av störningar och avbrott i näten. Målet är att skapa en gemensam lägesuppfattning hos aktörerna inom sektorn elektronisk kommunikation i händelse av stora störningar. En gemensam lägesuppfattning ökar sam- verkansmöjligheterna, då operatörerna på ett snabbt sätt kan erhålla och utbyta detaljerad information om status och prognos för pågående störningar i viktiga tjänster i näten. Hos operatörerna utnyttjas informationen i arbetet för att återställa kapaciteten och minska konsekvenserna av störningarna.</P> <P class="p103 ft9">Delar av informationen i GLU går att formulera så att den kan göras förståelig och delges andra intressenter. Operatörernas kunder kan exempelvis vara andra teleoperatörer, företag, myndig- heter, kommuner och enskilda personer. I GLU får dessa och andra aktörer i samhället inom exempelvis elsektorn, krisansvariga myndigheter, medierna och allmänheten tillgång till information om läget via internet och respektive operatörs webbplats.</P> <P class="p110 ft8">Driftinformation mellan operatörer, DIO, är ett system som används mellan operatörer och innebär att driftinformation kan</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">160</P> </DIV> </DIV> <DIV id="page_161"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p413 ft8">utbytas på ett standardiserat sätt. DIO syftar till att skapa en mer ekonomisk, säkrare och effektivare överföring av information om driftstörningar orsakade av akuta fel eller planerade avbrott.</P> <P class="p421 ft18"><SPAN class="ft16">7.6.4</SPAN><SPAN class="ft81">Nationellt arbete med fokus på industriella informations- och styrsystem</SPAN></P> <P class="p422 ft8">Inom området industriella informations- och styrsystem är det centralt att upprätthålla en hög nationell kompetens kring säkerhet i industriella informations- och styrsystem <NOBR>(SCADA-system).</NOBR> Se avsnitt 4.4.3 avseende hot och risker inom området. Det är också viktigt att genom internationell samverkan följa och ibland leda arbetet med harmonisering av standarder och branschpraxis och att länder lär av varandra.</P> <P class="p148 ft9">För att stötta den speciella situation som råder i verksamheter som hanterar industriella informations- och styrsystem driver Myndig- heten för samhällsskydd och beredskap, sedan ett antal år tillbaka dessa frågor i en samlad satsning, ett program för ökad säkerhet i industriella informations- och styrsystem. Arbetet riktar sig såväl mot den offentliga som privata sektorn och fokuserar på medvetande- höjning, kunskapshöjning och förmågehöjning av berörda aktörer. De mer precisa målgrupperna är de aktörer som driver industriella informations- och styrsystem, exempelvis elbolag, vattenproducenter, transportföretag och kemiska processindustrier. Även kommuner och myndigheter med ansvar för en ”sektor” är viktiga målgrupper, liksom leverantörer av teknisk utrustning som ingår i industriella informations- och styrsystem. En central del i detta arbete är det kunskapscentrum som MSB har etablerat i samverkan med Total- försvarets forskningsinstitut (FOI). Arbetet mellan MSB och FOI har bedrivits de senaste sju åren och för fyra år sedan etablerade myndig- heterna tillsammans, Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet (NCS3). Inom ramen för NCS3 genomförs bland annat teknisk utbildning av aktörer från samhälls- viktig verksamhet. Under det senaste året har bland annat ett nytt koncept för praktisk träning i att motstå <NOBR>it-angrepp</NOBR> tagits fram. I ett så kallat <SPAN class="ft14">cyberrange </SPAN>får de olika aktörerna öva och se effekterna av hot- och risker mot samhällsviktig verksamhet.</P> <P class="p423 ft13">Inom centrumbildningen (mellan MSB och FOI samt andra berörda aktörer) genomförs också studier som syftar till att analy-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">161</P> </DIV> </DIV> <DIV id="page_162"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p273 ft13">sera säkerhetsproblem kopplade till industriella informations- och styrsystem. Dessa studier kan vara av både teknisk och strategisk karaktär och de färdiga rapporterna används sedan för att öka olika aktörers medvetenhet om hot och risker i denna domän.</P> <P class="p223 ft10">De utbildningsinsatser som bedrivs inom NCS3 är av med- vetandehöjande, kunskapshöjande och förmågehöjande natur.</P> <P class="p222 ft8">En av de centrala delarna i MSB:s program för ökad säkerhet i industriella informations- och styrsystem är medvetandehöjande aktiviteter. Dessa består bl. a. i att hålla föredrag på mässor och branschträffar för att belysa vikten av säkerhet i industriella informations- och styrsystem. I detta sammanhang är det viktigt att nå ut till personer på ledningsnivå. MSB har beskrivit för utred- ningen att det är slående ofta som ansvariga chefer inte känner till skillnaden mellan kraven på <NOBR>it-säkerhet</NOBR> ”på kontoret” och kraven som råder i industriprocesserna. Industriella informations- och styrsystem ”faller mellan stolarna” och betraktas inte som it- system utan som produktionssystem. Det kan få till följd att det inte finns någon som tar ansvar för säkerheten i dessa system eller ställer krav på att säkerheten ska utvecklas. Genom NCS3 har programmet också utvecklat ett antal så kallade demonstratorer som på ett pedagogiskt sätt kan gestalta effekten av ett angrepp mot ett industriellt informations- och styrsystem. I dagsläget används främst en modell av ett vattenreningsverk, ett portabelt system med trafikljus samt en uppsättning ”fabriker” som kan angripas. Detta ger pedagogiska effekter som gör presentationerna mer levande och verklighetsnära. Behovet av medvetandehöjande aktiviteter är dock stort och åtgärder som dessa skulle behöva öka avsevärt.</P> <P class="p276 ft9">En annan central komponent i arbetet är kunskapshöjande akti- viteter. Det är viktigt att även den tekniska personal som arbetar med informations och styrsystem har kunskap och förståelse om vikten av att dessa system är skyddade. Därför har NCS3 tagit fram en <NOBR>tvådagars-utbildning</NOBR> kring säkerhet i industriella informations- och styrsystem. Utbildningen varvar teori med praktik och genom- förs fyra till fem gånger per år. Varje kurstillfälle, som är öppet för 16 personer, är anpassat till en specifik målgrupp – exempelvis elproducenter eller vattenproducenter. Den här sektorsanpass- ningen innebär att både de teoretiska och de praktiska delarna kan anpassas tydligare mot den verklighet som aktörerna befinner sig i</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">162</P> </DIV> </DIV> <DIV id="page_163"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p260 ft9">till vardags. Den innebär också att deltagarna får möjlighet att under förtroliga former diskutera sektorsspecifika frågor och att bygga nätverk. De praktiska delarna anpassas utifrån deltagarnas förkunskaper. Generellt går övningarna ut på att experimentera med olika verktyg för säkerhetsanalys. Deltagarna får också försöka sig på att angripa ett industriellt informations- och styrsystem (där riktiga styrsystem finns bakom). Praktiska övningar genomförs också i form av grupparbeten där en säkerhetsanalys av en fiktiv verksamhet ska genomföras. Om förkunskaperna är väldigt olika mellan deltagarna anpassas arbetet utifrån deltagarnas egna förut- sättningar. En ny aktivitet är också <NOBR>alumni-träffar</NOBR> där deltagare från de senaste tre årens kurstillfällen bjudits in. Denna typ av samman- komster stärker också förmågan över tiden och säkerställer ett vidmakthållande av nätverken mellan tekniker. En effekt som kursen har haft, utöver den individuella kunskapshöjningen, är att deltagarna tar med sig kunskap till sina respektive organisationer vilket leder till att stärka hela verksamheten. Nätverkandet mellan tekniker inom en bransch men också mellan branscher är centralt; det är dessa personer som åtgärdar problemen när de uppstår. Den kunskap som de besitter och de möjligheter de har att hjälpa varandra är i slutänden vad som avgörför hur effektivt vi kan hantera en allvarlig händelse mot samhällsviktig verksamhet.</P> <P class="p424 ft9">Sista steget i utbildningstrappan består av förmågehöjande akti- viteter. Även om kunskapen finns är det viktigt att praktiskt träna sig i att hantera <NOBR>it-incidenter.</NOBR> Hantering skiljer sig ofta mellan in- dustriella informations- och styrsystem och vanliga administrativa system. I ett industriellt informations- och styrsystem är det vik- tigt att i möjligaste mån upprätthålla produktionen samtidigt som angreppet analyseras och avstyrs. Hanteringen av angreppet bör också ske på ett sätt som underlättar den efterkommande foren- siska analysen. I den förmågehöjande utbildningen används den</P> <P class="p425 ft8">”cyberrange” som nämnts tidigare. Den består av cirka 300 ihop- kopplade datorer som, men hjälp av virtualisering, kan skapa en närmast oändlig mängd olika tekniska nätverkskonfigurationer. Det tekniska nätverk som används för de förmågehöjande insat- serna i dag är t.ex. en replikering av ett produktionssystem, exem- pelvis en läkemedelsprocess, där övningsdeltagarna ska upprätthålla produktionen samtidigt som systemet angrips.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">163</P> </DIV> </DIV> <DIV id="page_164"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p154 ft16">Tekniska och strategiska studier</P> <P class="p159 ft13">En annan viktig del är de studier som tas fram inom ramen för MSB och FOIs samarbete NCS3. Varje år genomförs studier som går ut på att djupanalysera något tematiskt område inom <NOBR>it-säkerhet</NOBR> för industriella informations- och styrsystem. Exempel på studier kan vara hur säkert det är med virtuella nätverk i en processmiljö, eller hur säkert det är att använda vitlistning för att hindra att skadlig kod tar sig vidare ner i styrdatorerna. Studierna har ofta koppling till den omvärldsanalys som bedrivs inom MSB:s program.</P> <P class="p72 ft8">Inom olika sektorer sker också särskilda studier för att identifi- era hot och risker, många av dessa är på grund av sakens natur dock sekretessbelagda. Inom ramen för Säkerhetspolisens arbete sker också mycket kvalificerade analyser mot de mest skyddsvärda objekten i samhället. Det finns dock ett stort behov av ytterligare studier i och med att utvecklingen som beskrivits ovan sker i en oerhört hög takt.</P> <P class="p158 ft16">Nationell och internationell samverkan</P> <P class="p383 ft8">Inom ramen för MSB:s arbete med industriella informations- och styrsystem drivs sedan 2004 ett samverkansforum för informationsdelning mellan olika aktörer från det offentliga och privata. Forumet heter <NOBR>FIDI-SC</NOBR> och har <NOBR>10–12</NOBR> medlemmar från olika verksamheter som hanterar industriella informations- och styrsystem. Forumet träffas fyra gånger per år och diskuterar under förtroliga former faktiska hot, risker och sårbarheter. Varje möte innehåller också en omvärldsanalys och en gästföreläsare inom relevant område. Utöver den information som utbyts inom forumet skapas viktiga förtroliga kontakter mellan aktörerna som borgar för en ökad medvetenhet om säkerheten i industriella informations- och styrsystem.</P> <P class="p426 ft10">En central del i det arbetet som bedrivits av MSB är skriften</P> <P class="p427 ft89">Vägledning till ökad säkerhet i industriella informations- och styr- system<SPAN class="ft38">. 2014 gavs den tredje utgåvan av vägledningen ut. Vägled- ningen har under årens lopp blivit </SPAN><NOBR><SPAN class="ft38">”de-facto”</SPAN></NOBR><SPAN class="ft38"> standard i Sverige. De tidigare utgåvorna har varit översatta till så väl engelska som japanska. Den nya utgåvan kommer också att ges ut på engelska</SPAN></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">164</P> </DIV> </DIV> <DIV id="page_165"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p163 ft10">vilket har varit efterfrågat från internationella organ som bland annat IAEA och ENISA.</P> <P class="p428 ft8">Inom ramen för MSB:s breda arbete inom krishanterings- området så är olika typer av forskning centralt. MSB finansierar här olika typer av forskning där ett område är en generell utlysning av medel för ett akademiskt forskningsprogram kring säkerhet i industriella informations- och styrsystem. Tanken är att, utöver NCS3, också bilda ett forskningscentrum där mer långsiktig forskning kan bedrivas. Forskningscentrumet ska ha ett nära samarbete med NCS3. En annan viktigt komponent där MSB är drivande är forskning tillsammans med Departement of Homeland Security (DHS). Inom ramen för detta arbetar också FOI med sina motsvarigheter i USA.</P> <P class="p243 ft16"><SPAN class="ft16">7.6.5</SPAN><SPAN class="ft63">Övningar</SPAN></P> <P class="p256 ft9">I samhället är allt fler verksamheter och tjänster sammanlänkande med varandra på någon nivå. Detta beroende medför att en hän- delse kan få organisationsöverskridande, samhälleliga konsekven- ser, som inte initialt förutsetts. För att stärka verksamheters för- måga att hantera uppkomna händelser eller kriser vidtas en mängd åtgärder från medvetandehöjande insatser till åtgärder för att stärka redundansen i system. En central komponent i detta är övningar.</P> <P class="p58 ft8">Med övningar ges förmåga att hantera kriser både genom att förbereda individer och organisationer i sin helhet men även för hur organisationer ska samverka med andra aktörer i samhället. I Sverige har händelser som influensan A(H1N1) 2009 belyst beho- vet av åtgärder för att hantera uppkomna kriser.</P> <P class="p15 ft9">I Sverige har MSB uppdraget att samordna, genomföra och stödja regionala, nationella och internationella övningar inom området samhällsskydd och beredskap. Arbetet har sin utgångspunkt i ett uppdrag från regeringen. I budgetpropositionen 2014 gör regeringen bedömning att ”utbildningarna vid MSB, samt myndigheternas övningsverksamhet, internationell utbildnings- och övningsverk- samhet, samt det övningsstöd som lämnats av MSB har bidragit till en ökad förmåga att hantera olyckor och kriser nationellt och internationellt”(prop. 2013/14:1 utgiftsområde 6 s. 86).</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">165</P> </DIV> </DIV> <DIV id="page_166"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p154 ft16">Informations- och cybersäkerhetsövningar</P> <P class="p383 ft8">Behovet av att förbereda sig för att hantera incidenter och kriser återfinns även inom informations- och cybersäkerhetsområdet. Den globala marknaden för informations och kommunikations teknologi (IKT) uppskattas till 2 500 miljarder euro och upphand- lingar av <NOBR>IKT-produkt-</NOBR> och tjänster inom EU uppskattas till att motsvara 16 procent av all BNP i EU. Under de senaste åren i Sve- rige har driftproblem hos leverantörer (Tieto- och <NOBR>Evry-händel-</NOBR> serna) visat hur incidenter i informationssystem fått stora konse- kvenser för organisationer vilket bl.a. kan påverka samhällsviktig verksamhet.</P> <P class="p226 ft9"><NOBR>EU-kommissionen</NOBR> betonar betydelsen av cybersäkerhetsövningar och ser det som strategiskt viktigt för att förbättra skyddet av kritisk informationsinfrastruktur. I European Cyber Security Strategy uppmanas medlemsländerna att delta i övningar på nationell och pan- europeisk nivå. Internationellt finns det flera stora aktörer, såväl länder som mellanstatliga organisationer, som identifierat behovet av cybersäkerhetsövningar och numera anordnas det årligen en mängd sådana. Flertalet strävar efter att utveckla samarbetet mellan incident- hanteringsfunktioner från olika länder, företrädelsevis nationella och militära <NOBR>CERT-liknade</NOBR> organisationer.</P> <P class="p259 ft8">Sverige var tidigt med att planera och genomföra cybersäker- hetsövningar. Under 2008 genomförde svenska myndigheter till- sammans med Nato CCD CoE i Estland en teknisk cyberövning (CDX). Samma år genomfördes också SAMÖ2008 vilket utgick från en finansiell kris. Ett viktigt moment i denna övning var stör- ningar i betalningssystemet.</P> <P class="p103 ft13">För att utveckla samhällets förmåga att hantera incidenter är det viktigt att öva organisationers eller funktioners förmåga som en helhet och inte endast tekniska experters förmåga att lösa tekniska problem. I Sverige betonas därför vikten av simuleringsövningar och då särskilt tvärsektoriella nationella cybersäkerhetsövningar och tekniska cybersäkerhetsövningar med virtuell övningsmiljö. Med simuleringsövning avses en övningsform där deltagarna övas i sina ordinarie roller, där miljön och uppgiften efterliknar verklig- heten i så stor utsträckning som möjligt, och där händelseutveck- lingen är baserad på ett övergripande scenario.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">166</P> </DIV> </DIV> <DIV id="page_167"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p429 ft9">Nationella tvärsektoriella övningarna, som övningsserien Nationell informationssäkerhetsövning (NISÖ) syftar till att utveckla samordning och samverkan i samhället och är särskilt viktiga för att nå ut till en bredare krets av kritiska aktörer inom privat och offentlig sektor. De möjliggör att öva koordination, beslutsprocesser och policysamverkan mellan berörda aktörer. NISÖ har genomförts 2010 och 2012. Övningen 2010 genomfördes med centrala myndigheter och de stora energibolagen. Övningen 2012 genomfördes också med centrala myndigheter, energibolagen men också transportsektorn samt ett stort telekombolag. Med på övningen fanns också de nordiska nationella <NOBR>CERT-funktionerna.</NOBR> Denna typ av sektorsövergripande övning kommer att genomföras med regelbundenhet.</P> <P class="p153 ft8">För att nå alla nivåer vid hantering av händelser kompletteras tvärsektoriella övningar med tekniska cybersäkerhetsövningar i virtuell övningsmiljö. I dessa hanterar de övade funktionerna tek- niska problem i en virtuell miljö som återspeglar verkligheten i form av tekniska infrastrukturer och system. På så vis kan funk- tionerna öva samverkan med andra aktörer, sina processer och tekniska förmåga för att hantera incidenter samtidigt.</P> <P class="p430 ft10">Exempel på genomförda övningar nationellt och internationellt de senaste åren där Sverige deltagit i någon form är:</P> <P class="p431 ft13"><SPAN class="ft41"></SPAN><SPAN class="ft24">Cyber Defence Exercise – Locked Shields (2008, 2010): Övnings- serie som anordnas av Nato CCD CoE årligen och där Försvarshögskolan (FHS) deltar i planering och genomförande i övningsledningen. Syftet med övningen är att öva hantering av it- incidenter och skydd av civil kritisk infrastruktur.</SPAN></P> <P class="p432 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Cyber Storm (2010, 2013): Övningsserie som anordnats av U.S. Department of Homeland Security med deltagande av </SPAN><NOBR>15-tal</NOBR> länder där syftet bland annat har varit att öva processer för inci- denthantering mellan deltagande länder.</P> <P class="p433 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Cyber Europe (2010, 2012, 2014): Paneuropeisk övningsserie som anordnas av ENISA med syfte att utveckla samarbetet och processer för informationsdelningen mellan utpekade nationella funktioner.</SPAN></P> <P class="p396 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">Nationell informationssäkerhetsövning, NISÖ (2010, 2012): Nationell övningsserie med syfte att stärka samhällets förmåga att hantera </SPAN><NOBR>it-relaterade</NOBR> kriser.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">167</P> </DIV> </DIV> <DIV id="page_168"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p434 ft60"><SPAN class="ft41"></SPAN><SPAN class="ft59">Nato Crisis Management Exercise, CMX (2012): Övningsserie som övar den politiska beslutsstrukturen i Nato och deltagande länder. Under 2012 var cybersäkerhet ett av två huvudteman.</SPAN></P> <P class="p213 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">Nato Cyber Coalition Exercise </SPAN><NOBR>(2011–2014):</NOBR> Övningsserie som anordnas av Nato i syfte att utveckla samarbetet och teknisk in- cidenthantering.</P> <P class="p343 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">Nationell teknisk informationssäkerhetsövning (2013): Svensk teknisk övning i syfte att utveckla deltagande organisationers förmåga såväl som de övade individernas färdigheter att hantera </SPAN><NOBR>it-incidenter</NOBR> samt att utveckla teknisk operativt samarbete vid <NOBR>it-incidenthantering</NOBR> mellan deltagarna.</P> <P class="p343 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Nordisk nationell </SPAN><NOBR>CERT-övning</NOBR> (2015): Planerad övning under 2015 med syfte att utveckla den gemensamma incidenthante- ringen, inklusive lägesbilder och informationsdelning mellan de nordiska <NOBR>CERT-funktionerna.</NOBR></P> <P class="p435 ft88"><SPAN class="ft41"></SPAN><NOBR><SPAN class="ft87">Telö-serien</SPAN></NOBR> är en övning som hålls vartannat år för aktörer inom sektorn för elektronisk kommunikation. Syftet är att vara en lärande övning avseende samverkan inom sektorn och med andra sektorer och myndigheter under en extraordinär händelse.</P> <P class="p195 ft33"><SPAN class="ft33">7.7</SPAN><NOBR><SPAN class="ft48">Privat-offentligt</SPAN></NOBR></P> <P class="p436 ft16"><SPAN class="ft16">7.7.1</SPAN><SPAN class="ft63">Informationssäkerhetsrådet</SPAN></P> <P class="p340 ft9">Myndigheten för samhällsskydd och beredskap (MSB) har, för att utnyttja samhällets samlade kompentens på informationssäkerhets- området, knutit till sig ett informationssäkerhetsråd med bred representation från både offentlig förvaltning och näringslivet. Informationssäkerhetsrådet består av representanter från Polis- myndigheten, Post- och telestyrelsen, Säkerhetspolisen, Försvarets radioanstalt, Vattenfall AB, .SE (Stiftelsen för Internetinfrastruktur), Karlstads Universitet, Försvarsmakten, L M Ericsson, Sveriges Riksbank, Västra Götalandsregionen, Försvarshögskolan, Riksgälden, Försvarets materielverk och Scania AB.</P> <P class="p426 ft10">Informationssäkerhetsrådet har i uppgift att bistå MSB med:</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">168</P> </DIV> </DIV> <DIV id="page_169"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p266 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">information om utvecklingstrender inom området informations- säkerhet, det vill säga skydd av information och säkring av in- formationssystem.</SPAN></P> <P class="p108 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">synpunkter på inriktning, prioritering och genomförande av MSB:s arbete inom området.</SPAN></P> <P class="p437 ft12"><SPAN class="ft41"></SPAN><SPAN class="ft86">kvalitetssäkring och trovärdighet till MSB:s arbete genom att vara rätt sammansatt och ha koppling till vitala samhällsfunktioner.</SPAN></P> <P class="p189 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">att bidra till spridning av information om MSB:s arbete med informationssäkerhet i omvärlden.</SPAN></P> <P class="p438 ft16"><SPAN class="ft16">7.7.2</SPAN><SPAN class="ft63">Ytterligare </SPAN><NOBR>privat-offentliga</NOBR> samverkansforum inom området</P> <P class="p256 ft13">Utöver informationssäkerhetrådet ovan finns ett antal privat- offentliga samverkansforum på nationell nivå och till detta kommer även ett stort antal mer eller mindre formella nätverk. När det gäl- ler <NOBR>privat-offentliga</NOBR> samverkansforum av den typ som nämnts ovan om industriella styrsystem, <NOBR>FIDI-SC,</NOBR> så kan även nämnas MSB:s forum <NOBR>FIDI-Finans</NOBR> som engagerar ett 15 tal aktörer i sam- hällssektorn finansiella tjänster samt <NOBR>FIDI-Vård</NOBR> och omsorg som både engagerar privata och offentliga aktörer inom sektorn. Här bör även nämnas samverkansforumet NTSG (se avsnitt 7.6.3) som omfattar aktörer inom sektorn elektroniska kommunikationer och som leds av PTS. När det gäller arbetet med att förebygga och hantera <NOBR>it-incidenter</NOBR> är även den nyligen startade nationella samverkan mellan olika <NOBR>CSIRT-funktioner</NOBR> av stor vikt. Gruppen benämns informellt Svenskt <NOBR>CERT-forum</NOBR> och samordnas av MSB.</P> <P class="p243 ft16"><SPAN class="ft16">7.7.3</SPAN><SPAN class="ft63">Standardisering av informations- och </SPAN><NOBR>it-säkerhet</NOBR></P> <P class="p210 ft9">Standarder kan beskrivas som frivilligt och i samförstånd framtagna gemensamma lösningar på ofta återkommande problem. Standarder formaliserar och överför kunskap avseende säkerhet, prestanda, begrepp och processer. På detta sätt ger standarder ofta en värde- full möjlighet att överföra resultat från forskning och utveckling till praktiskt arbete och vidare till specialisering. Inom offentlig upphandling möjliggör lagarna för den upphandlande myndigheten</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">169</P> </DIV> </DIV> <DIV id="page_170"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">och enheten att hänvisa till standarder men hänvisningarna ska följas av ordet ”likvärdiga” för att säkerställa konkurrens på lika villkor.</P> <P class="p72 ft8">Standardisering är en privaträttslig verksamhet och är i huvud- sak en fråga för näringslivet. Det finns emellertid ett antal formella regler som påverkar förhållandet mellan myndigheterna och stan- dardiseringsverksamheten.</P> <P class="p103 ft9">För näringslivet är standardisering och kontroll av att produkter tillverkade enligt harmoniserade standarder på marknaden uppfyller föreskrivna krav (marknadskontroll) nog så angeläget som reduce- ring av antalet regler. Standarder är instrument för samarbete mellan näringsliv och förvaltning samt för förenklad lagstiftning. En modern standard måste ta hänsyn till en lång rad av ibland mot- stridande aspekter och krav som alla ska vägas in i arbetet. Teknik- skiftet är tydligast inom <NOBR>it-området</NOBR> då det sammankopplade och uppkopplade samhället berör snart sagt allting.</P> <P class="p103 ft13">Området elektroniska kommunikationer kännetecknas av en snabb teknisk utveckling och en pågående sammansmältning av tekniker och tjänster. Tillgången till och användningen av olika typer av standarder är av utomordentligt stor betydelse inom in- formationstekniken. Samtidigt är området svåröverskådligt genom förekomsten av ett mycket stort antal standarder för liknande funktioner och ett stort antal organisationer som utformar, föreslår eller fastställer nya eller modifierade standarder.</P> <P class="p158 ft16">Certifiering och ackreditering</P> <P class="p254 ft8">Certifiering är en bedömning av överensstämmelse och en bekräf- telse på att en produkt, process eller tjänst uppfyller kraven i t.ex. en standard. Ackreditering är en formell bekräftelse på kompetens hos certifierings- kontroll- och provningsorgan.</P> <P class="p206 ft33"><SPAN class="ft33">7.8</SPAN><SPAN class="ft48">Den privata sektorn</SPAN></P> <P class="p64 ft38">Stora delar av samhället är beroende av att vara uppkopplat mot internet för att fungera. Elektronisk kommunikation är av den anledningen att anse som en kritisk resurs för samhällets funktion och en förutsättning för att samhällets övriga <NOBR>it-infrastruktur</NOBR> ska</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">170</P> </DIV> </DIV> <DIV id="page_171"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p66 ft8">fungera. Detta kräver att ett systematiskt informationssäkerhets- arbete genomförs som beaktar alla former av hot och risker som kan inträffa.</P> <P class="p14 ft8">1994 upphävdes det statliga monopolet inom telefoni och mark- naden öppnades för privata aktörer. I samband med det bildades Post- och telestyrelsen (PTS) då en öppen marknad krävde att en regulatorisk myndighet bildades. PTS arbetar med regulatoriska och främjande åtgärder gentemot operatörer och nätägare i syfte att tillse att samhället har väl fungerande och tillförlitliga elektro- niska kommunikationer. Myndigheten verkar även som en statlig kontaktyta för operatörerna.</P> <P class="p15 ft13">Lagen (2003:389) om elektronisk kommunikation (LEK) anger vilken grundläggande nivå av informationssäkerhet som operatörerna är skyldiga att ha för att bedriva verksamhet på marknaden för elektronisk kommunikation. Utöver lagens krav kan operatörernas kunder ställa högre krav på säkerhet mot en högre kostnad i enlighet med marknadens villkor. Dessutom har samhället särskilda säkerhetskrav på vissa delar av den elektroniska kommunikationsinfrastrukturen, exempelvis avseende robusthet och redundans. I dessa fall kan PTS bidra med medel. Dessa ekono- miska satsningar inriktas på att stärka infrastrukturen, så att kon- sekvenser av allvarliga händelser ska kunna minimeras, vilket stär- ker samhällets informationssäkerhet.</P> <P class="p243 ft16"><SPAN class="ft16">7.8.1</SPAN><SPAN class="ft63">Teleoperatörer</SPAN></P> <P class="p82 ft9">Operatörernas verksamhet bedrivs på kommersiella grunder på en fri marknad. Reglering av operatörernas verksamhet får av den anledningen inte vara mer ingripande än som framstår som rimligt och proportionella med hänsyn till den fria konkurrensen. För att säkerställa att informationssäkerheten i operatörernas verksamhet når en grundläggande nivå, omfattas de dock av olika regulatoriska och främjande åtgärder inom informationssäkerhetsområdet.</P> <P class="p15 ft38">Operatörer har en skyldighet enligt LEK att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att verksamheten uppfyller rimliga krav på säkerhet. De åtgärder som vidtas ska vara ägnade att skapa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">171</P> </DIV> </DIV> <DIV id="page_172"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p178 ft13">åtgärderna, är anpassad till risken för störningar och avbrott. I egenskap av tillsynsmyndighet meddelar PTS föreskrifter och allmänna råd som förtydligar kraven på god funktion och säkerhet. Syftet med kraven är att skapa säkra och effektiva elektroniska kommunikationer för enskilda och myndigheter. Dessutom ska operatörerna bedriva ett kontinuerligt och systematiskt säkerhets- arbete för att uppnå säkrare elektroniska kommunikationer.</P> <P class="p270 ft9">Operatörerna är skyldiga enligt 5 kap. 6 b § LEK att upprätthålla en viss nivå av driftsäkerhet. Med driftsäkerhet avses upprätthål- lande av funktion och tillgänglighet, men även uthållighet vid extraordinära händelser. 2007 utarbetade PTS allmänna råd om god funktion och teknisk säkerhet som förtydligar regleringen i LEK. De utgör rekommendationer om hur driftsäkerhetsarbetet kan bedrivas för att uppfylla kraven som ställs i författningen. Kraven på driftsäkerhet kommer att förtydligas ytterligare i de föreskrifter som PTS arbetar med att ta fram under 2015.</P> <P class="p270 ft13">Operatörerna har även ett ansvar för informationssäkerheten avseende integritet och skyddet mot obehörig insyn. Uppgifter som behandlas i samband med tillhandahållandet av tjänster ska skyddas. Bestämmelser om operatörernas skydd för abonnenternas trafikuppgifter finns i 6 kap 3 § LEK och kompletteras av Post- och telestyrelsens föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter, PTSFS 2014:1. Föreskrifterna innehåller bestämmelser om de tekniska och organisatoriska skyddsåtgärder som den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta.</P> <P class="p272 ft8">Enligt 6 kap. 3 a § LEK ska operatörerna i samband med trafik- datalagring vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling. Operatörerna är även skyldiga att följa PTS föreskrifter och allmänna råd om skyddsåtgärder i samband med lagring och annan behandling av uppgifter för brottsbekämpande ändamål (PTSFS 2012:4). Föreskrifterna innehåller bestämmelser om de särskilda tekniska och organisatoriska skyddsåtgärder som operatörerna är skyldiga att vidta.</P> <P class="p411 ft8">Enligt 1 kap. 8 § LEK samt de föreskrifter som PTS utfärdar av- seende beredskap och totalförsvar är operatörerna skyldiga att delta i totalförsvarsplanering och i samband med det, vidta åtgärder i syfte att skapa större informationssäkerhet.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">172</P> </DIV> </DIV> <DIV id="page_173"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p249 ft16"><SPAN class="ft16">7.8.2</SPAN><SPAN class="ft63">Stiftelsen för internetinfrastruktur (.SE)</SPAN></P> <P class="p90 ft8">Stiftelsen för internetinfrastruktur (.SE) bildades 1997 och är en oberoende allmännyttig organisation som verkar för en positiv ut- veckling av internet i Sverige. .SE ansvarar för internets svenska toppdomän .se, med registrering av domännamn samt admi- nistration och teknisk drift av det nationella domännamnsregistret. Sedan september 2013 sköter .SE också drift och administration för toppdomänen .nu.</P> <P class="p14 ft8">I slutet av 2014 fanns det över 1,3 miljoner registrerade .se- domäner .SE är och ska vara det självklara valet för företag, privat- personer och organisationer som vill ha ett domännamn med anknyt- ning till Sverige.</P> <P class="p15 ft8">När någon registrerar en .se- <NOBR>eller .nu-domän</NOBR> går en del av av- giften som .SE tar ut för domännamnsregistrering till projekt som på olika sätt främjar en positiv utveckling av internet i Sverige. 2013 satsade stiftelsen cirka 78 miljoner kronor på internetutvecklande verksamhet. Den överordnade målsättningen är att alla ska kunna ta tillvara internets möjligheter.</P> <P class="p59 ft13">.SE:s internetutvecklingsprojekt har sin grund i <A href="https://www.iis.se/om/organisation/urkund-och-stadgar/">stiftelsens urkund och stadgar. </A>Mottot för projekten är <SPAN class="ft34">Internet för alla</SPAN>. I detta ligger att alla människor i vårt land ska ha samma rätt och samma möjligheter att utnyttja internets tjänster. Internet ska också vara säkert, så att användarna känner sig trygga och litar på tjänsterna som finns där. Även internets infrastruktur är i fokus för</P> <P class="p439 ft8">.SE. Den ska vara säker, stabil och skalbar så att internet blir så användbart som möjligt för alla.</P> <P class="p15 ft8">Med det övergripande målet att skapa ett internet för alla blir bredden i de olika projekt som .SE driver stor. Här ryms allt från skol- tävlingen <A href="http://www.webbstjarnan.se/">Webbstjärnan, </A><A href="https://www.iis.se/lar-dig-mer/guider">bokpublicering, </A>statistik, satsningar på ökad <A href="https://www.iis.se/vad-vi-gor/digital-delaktighet">digital delaktighet, </A>konferensen <A href="http://www.internetdagarna.se/">Internetdagarna </A>och <A href="https://www.iis.se/evenemang">seminarier </A>till <A href="https://www.iis.se/bredbandskollen">testverktyg, </A>utveckling av <A href="https://www.iis.se/lar-dig-mer/open-source">program med öppen källkod, </A>stöd vid <A href="https://www.iis.se/lar-dig-mer/ipv6">införandet av </A>internetprotokollet version 6 (IPv6) samt finansiering av fristående projekt genom <A href="https://www.iis.se/vad-vi-gor/internetfonden">Internetfonden.</A></P> <P class="p59 ft37">.SE har sedan 2007 genomfört en undersökning av nåbarhet på nätet och hälsoläget i .se. Syftet med den årliga undersökningen är att kartlägga och analysera kvaliteten och nåbarheten i framför allt domännamnssystemet (DNS) <NOBR>i .se-zonen</NOBR> och några andra viktiga funktioner för domäner registrerade i .se. Genom att undersökningen</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">173</P> </DIV> </DIV> <DIV id="page_174"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p237 ft8">har genomförts flera år i rad kan .SE också visa på utveckling och trender inom de undersökta områdena. Undersökningen görs på både ett urval av domäner som representerar viktiga funktioner i samhället och ett slumpmässigt urval motsvarande en procent av samtliga domäner i .se</P> <P class="p200 ft8">Internet Corporation for Assigned Names and Num- bers, <A href="http://www.icann.org/">ICANN </A>har utsett .SE att administrera den svenska toppdomä- nen, .se. .SE:s verksamhet regleras av lagen (2006:24) om nationella toppdomäner för Sverige på internet. PTS är tillsynsansvarig myndighet för .SE, vilket ska garantera en stabil drift av det svenska domännamnssystemet<SPAN class="ft50">.</SPAN></P> <P class="p440 ft16"><SPAN class="ft16">7.8.3</SPAN><SPAN class="ft63">Stiftelsen för telematikens utveckling </SPAN><NOBR>(TU-stiftelsen)</NOBR> och Netnod</P> <P class="p441 ft8">Stiftelsen för telematikens utveckling <NOBR>(TU-stiftelsen)</NOBR> bildades 1997 med ändamålet enligt stiftelsens urkund och stadgar att främja forskning, utbildning och undervisning inom data- och telekom- munikation särskilt såvitt avser internet. Stiftelsen ska bland annat kunna lämna bidrag till inköp av utrustning, anslag till forskar- stipendier och bidrag till studieresor. För tillgodoseende av stiftel- sens ändamål får stiftelsen äga dotterbolag.</P> <P class="p361 ft8"><NOBR>TU-stiftelsen</NOBR> driver dotterbolaget Netnod i syfte att utgöra en oberoende huvudman för etablering och drift av knutpunkter och andra operatörsgemensamma internetfunktioner.</P> <P class="p238 ft9">Netnod driver fem internetknutpunkter, så kallade IXP:er, i Sve- rige och en i Danmark. Till dessa knutpunkter kan internetoperatörer koppla sig och utbyta trafik med andra (så kallad peering).</P> <P class="p238 ft13">Netnod erbjuder också mervärdestjänster som distribution av spårbar svensk tid via NTP (network time protocol). Netnod han- terar även ett antal <NOBR>DNS-tjänster</NOBR> på uppdrag från toppdomänadmi- nistratörer över hela världen. Slutligen är Netnod operatör av en av internets logiska rotnamnservrar för DNS <NOBR>(i-roten).</NOBR> Den tjänsten erbjuds allmänheten som en tjänst utan kostnad.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">174</P> </DIV> </DIV> <DIV id="page_175"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td76"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td77"><P class="p16 ft36">Samhällets informationssäkerhet</P></TD> </TR> </TABLE> <P class="p249 ft16"><SPAN class="ft16">7.8.4</SPAN><SPAN class="ft63">Svenskt Näringsliv</SPAN></P> <P class="p82 ft9">Föreningen Svenskt Näringsliv är företagens företrädare i Sverige. Det långsiktiga målet med verksamheten är att Sverige ska återta en tätposition i den internationella välståndsligan, vilket ska uppnås genom en bred intressegemenskap kring värdet av företagande och företagsamhet. Svenskt Näringslivs uppdrag är att öka förståelsen för företagens verklighet och att verka för att alla företag i Sverige ska ha bästa möjliga villkor för att verka och växa.</P> <P class="p257 ft13">Svenskt Näringsliv företräder närmare 60 000 små, medelstora och stora företag med totalt över 1,6 miljoner anställda. Två av tre medlemsföretag har färre än tio medarbetare. Medlemsföretagen är organiserade i 49 bransch- och arbetsgivarförbund. Förbunden utgör föreningen Svenskt Näringslivs medlemmar.</P> <P class="p58 ft8">Verksamheten täcker ett brett fält och vänder sig till olika mål- grupper. Föreningen arbetar med opinionsbildning och kunskaps- spridning, utvecklar nya idéer och tar fram konkreta förslag för att skapa ett bättre klimat för företagsamheten. Medlemsorganisation- erna ger medlemsföretag konkret och anpassad service, till exempel rådgivning, omvärldsinformation och utbildning. De arbetar även med att påverka politiker och myndigheter i branschspecifika frågor.</P> <P class="p14 ft8">Svenskt Näringsliv och dess medlemsorganisationer arbetar brett med säkerhetsfrågor och riskhantering, bland annat inom området informationssäkerhet, där medlemsorganisationen <NOBR>it-företagen</NOBR> intar en framträdande roll. Samverkan sker med ett flertal andra organisationer, bland andra International Chamber of Commerce, ICC, och SIS, Swedish Standards Institute, samt särskilt med Näringslivets Säkerhetsdelegation (NSD) vars kansli finns hos Svenskt Näringsliv.</P> <P class="p69 ft16">Näringslivets Säkerhetsdelegation</P> <P class="p256 ft9">Svenskt Näringslivs externa arbete med säkerhet och riskhantering bedrivs huvudsakligen via Näringslivets Säkerhetsdelegation, NSD, som är ett informellt nätverk. NSD är registrerat som varumärke men all verksamhet bedrivs formellt under Svenskt Näringslivs organisationsnummer. NSD har cirka 600 medlemmar från privat och offentlig sektor med tillsammans cirka 900 kontaktpersoner. NSD</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">175</P> </DIV> </DIV> <DIV id="page_176"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Samhällets informationssäkerhet</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p362 ft10">finns i sex regioner (södra, västra, östra, Stockholm, Bergslagen och norra) med en arbetsgrupp i varje region.</P> <P class="p442 ft9">NSD är ett nätverk för lönsam riskhantering, vilket ska uppnås genom att stimulera det medvetna risktagandet. Verksamheten sker i form av konferenser, utbildningar, erfarenhetsutbyte, rådgivning och opinionsbildning samt utvecklingsprojekt. Verksamheten har under många år haft informationssäkerhet som en prioriterad fråga och bland annat producerat ett flertal rapporter.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">176</P> </DIV> </DIV> <DIV id="page_177"> <P class="p443 ft91"><SPAN class="ft7">8</SPAN><SPAN class="ft90">Internationella utvecklingslinjer, organisationer och dialoger</SPAN></P> <P class="p444 ft8">Detta kapitel inleds med att beskriva de globala cyberfrågorna inom utrikes- och säkerhetspolitik samt Sveriges arbete med dessa frågor. Därefter ges en beskrivning av ett antal internationella forum av betydelse inom informations- och cybersäkerhetsområdet. Det ska betonas att detta inte ska betraktas som en i alla sammanhang hel- täckande beskrivning.</P> <P class="p243 ft33"><SPAN class="ft33">8.1</SPAN><SPAN class="ft48">Globala cyberfrågor</SPAN></P> <P class="p192 ft13">Globala cyberfrågor utgör en prioriterad utrikespolitisk fråga och är en viktig del av Sveriges politik på det freds- och säkerhetsfräm- jande och folkrättsliga området. Denna politik bygger på grundläg- gande värderingar som mänskliga rättigheter, demokrati och rätts- statsprinciper. En central utgångspunkt är att folkrätten, inklusive de mänskliga rättigheterna, gäller fullt ut även på internet. Ett vik- tigt mål är att upprätthålla och stärka ett globalt, tillgängligt, öppet och robust internet som bidrar till en rättvis och hållbar global utveckling och där mänskliga rättigheter respekteras.</P> <P class="p59 ft9">Den ökande betoningen på cyberfrågor inom utrikes- och säker- hetspolitiken har växt i takt med den tilltagande digitaliseringen och globaliseringen av samhället. Från att tidigare i större utsträck- ning ha varit en mer avgränsad och teknisk angelägenhet som bl.a. behandlats ur ett nät- och driftsperspektiv har frågan kommit att utgöra en växande beståndsdel i den internationella politiken, inte minst ur geopolitisk hänsyn. Förekomsten av cyberattacker ökar närmast exponentiellt och allt fler länder skaffar sig förmågor och utvecklar doktriner inom cyberområdet.</P> <P class="p445 ft20">177</P> </DIV> <DIV id="page_178"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p230 ft37">I kampen för frihet, demokrati och utveckling är individens tillgång till yttrande- och informationsfriheten ett centralt instrument. Fri och öppen tillgång till internet både stärker demokrati och mänskliga rättigheter samtidigt som det utgör en viktig och växande drivkraft för social och politisk utveckling världen över. Internet öppnar nya kanaler för människor att ta emot och sprida information och kunna uttrycka sina åsikter i en globaliserad värld. Dessa möjligheter har gjort att vissa stater söker begränsa yttrandefriheten genom att t.ex. blockera och filtrera information eller stänga ned internet. De nya möjligheterna till övervakning har lett till omfattande internationella diskussioner om rätten till privatliv. Sverige driver en aktiv utrikes- politik som värnar och främjar ett öppet och säkert internet där mänskliga rättigheter till fullo respekteras. Flerpartssamverkan är en viktig del av att främja respekten för folkrätt och mänskliga rättigheter på internet, och inom detta område samarbetar Utrikesdepartementet (UD) internationellt med civilsamhällesorganisationer, privata företag och forskningsvärlden.</P> <P class="p446 ft8">Sverige har varit pådrivande vad gäller normbildande kring internetfrågor, särskilt vad gäller rättighetsfrågor. Sverige var t.ex. en av initiativtagarna till den nydanande resolutionen 20/8 (2012) i FN:s råd för mänskliga rättigheter som bekräftar att samma rättig- heter som individer har offline gäller även online, liksom uppfölj- ningsresolutionen 26/13 (2014), som också tar upp frågor om internets styrning och rätten till utbildning. Sverige är en aktiv medlem inom den så kallade Freedom Online Coalition (FOC), som driver frågor rörande mänskliga rättigheter och rättstatsprin- ciper på internet framåt. Sverige är ordförande för en av FOC:s tre arbetsgrupper, som specifikt driver frågan om hur rättstatsprinci- per ska kunna implementeras på internet.</P> <P class="p201 ft13">När det gäller internets styrning och förvaltning har UD fått en alltmer aktiv roll i samarbete med Näringsdepartementet. Vissa län- der som t.ex. Ryssland, Iran och Saudiarabien driver frågan om en övergång mot en mer statsledd förvaltning av internets resurser i flera multilaterala fora. Dessa stater vill föra över kontrollen över internets tekniska förvaltning till <NOBR>FN-systemet,</NOBR> skapa ett nytt mellanstatligt organ och utveckla rättsliga instrument för internet- relaterade policyfrågor. Många befarar att skapandet av nya inter- nationella ramverk kan komma att undergräva etablerade univer- sella politiska och medborgerliga rättigheter. En sådan utveckling</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">178</P> </DIV> </DIV> <DIV id="page_179"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td78"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td79"><P class="p16 ft92">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> </TR> </TABLE> <P class="p203 ft8">skulle därmed legitimera ökad censur och övervakning på internet och leda till betänklig inskränkning vad gäller personlig frihet och integritet.</P> <P class="p148 ft9">Inför hösten 2015 finns en överhängande risk att frågor rörande utökad mellanstatlig kontroll av internets tekniska funktioner, normer, standarder m.m. åter dyker upp i diskussionerna inom FN. Det är möjligt att den alliansfria gruppen G77 kommer att villkora ett fortsatt mandat för flerpartsforumet Internet Governance Forum mot instiftandet av ett rent mellanstatligt organ, alternativt att låta Internationella teleunionen (ITU) få en framskjuten roll i processerna.</P> <P class="p153 ft8">Frågorna kring internets globala styrning har på relativt kort tid gått från att vara en huvudsakligen teknisk angelägenhet till en diplomatisk sådan. Såväl externa faktorer, såsom de senaste årens övervakningsavslöjanden, som den allmänna geopolitiska utveck- lingen och strategiska hänsyn har drivit på utvecklingen.</P> <P class="p148 ft37">Den grundläggande skillnaden i synen på internet och informationsfrihet, liksom de säkerhetspolitiska och folkrättsliga mot- sättningarna, manifesteras i en rad olika fora, som t.ex. i FN:s general- församlings olika utskott, den statliga expertgruppen inom FN:s ram om <NOBR>ICT-frågor</NOBR> och internationell säkerhet (GGE), Internationella teleunionen (ITU), Unesco, The Economic and Social Council (ECOSOC) m.m. Sverige arbetar aktivt tillsammans med andra likasinnande länder för att hålla emot dessa staters många förslag och initiativ. Denna linje innebär bl.a. att motverka att ett enskilt FN- organ skulle ta ett övergripande policyansvar för internetrelaterade frågor. Svensk hållning är att varje specialiserat <NOBR>FN-organ</NOBR> bör hantera frågorna inom sitt ansvarsområde, oavsett om de är internetrelaterade eller inte. För att förbättra samordningen mellan organisationer och med civilsamhälle stödjer UD att den årliga, öppna flerparts- konferensen Internet Governance Forum, ska fungera som länk mellan olika policyområden.</P> <P class="p447 ft9">Frågorna om cyberområdets betydelse för global utveckling och därigenom för biståndspolitiken har också ökat, allteftersom ICT- teknologier har kommit även breda befolkningslager till del och brister i institutionell kapacitet och infrastruktur i allt högre grad framstått som utvecklingshinder i låg- och medelinkomstländer. Sverige har arbetat med <NOBR>ICT-relaterade</NOBR> frågor inom det internationella utvecklingssamarbetet sedan slutet på nittiotalet, då Sida bidrog till att bygga upp <NOBR>ICT-infrastruktur</NOBR> i bl.a. Kenya. Under slutet av <NOBR>2000-talet</NOBR></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">179</P> </DIV> </DIV> <DIV id="page_180"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p345 ft9">– till stor del som respons på händelseutvecklingen i Mellanöstern – fokuserades insatserna i högre grad på att stödja MR- och demokratiseringsaktörer med verktyg för säker kommunikation i repressiva miljöer. Det arbetet fortsätter nu inom ramen för strategin för särskilda insatser för demokratisering och yttrandefrihet. Frågorna om ICT och internets betydelse för utveckling lyfts särskilt fram i senare års <NOBR>strategi-,</NOBR> styr- och policydokument för biståndet. Frågan har under senare år också breddats till att förutom MR- och demokratiaspekter också omfatta ICT och internets bidrag till ekonomiskt hållbar utveckling. Sida bedriver nu ett omfattande arbete på området. UD bidrar också i samarbete med Sida till den snabbt växande diskussionen om kapacitetsbyggnad på området (cyber capacity building) inom EU och andra multilaterala processer.</P> <P class="p238 ft13">En viktigt handelspolitisk målsättning med koppling till cyber- området är att främja en fri, öppen och konkurrensutsatt marknad för <NOBR>ICT-produkter</NOBR> såväl inom EU som globalt. Frågan om data- överföringar spelar en allt viktigare roll i internationella handels- politiska relationer. Flera länder kräver striktare regler för data- överföringar, och vissa har gått så långt som att diskutera krav på att data måste lagras inom landets gränser. För Sverige är det vik- tigt att driva på för bättre integritetsskydd och informationssäker- het som samtidigt tar hänsyn till behovet av att dataöverföringar ska vara så okomplicerade som möjligt. För närvarande diskuteras dataöverföringar inom ramen för <NOBR>TiSA-förhandlingarna</NOBR> (Trade in Services Agreement), och i <NOBR>TTIP-förhandlingarna</NOBR> mellan EU och USA. Möjligheterna till dataöverföringar kan påverkas avsevärt av frågan om nätets framtida styrning.</P> <P class="p361 ft8">Det ökande samarbetet inom EU på cyberområdet har lett till framtagandet av en <NOBR>EU-cybersäkerhetsstrategi</NOBR> och etablerandet av den horisontella gruppen Friends of the Presidency Group on Cyber Issues för att kunna hantera övergripande, strategiska cyber- frågor inom EU. UD bereder och samordnar svenska positioner i denna grupp.</P> <P class="p232 ft13">Det pågår också samarbeten kring cyberfrågor på ad <NOBR>hoc-basis</NOBR> inom ramen för internationella och regionala samarbetsgrupper. Ett viktigt exempel är det <NOBR>nordisk-baltiska</NOBR> säkerhetspolitiska sam- arbetet som i stor uträckning har kommit att omfatta cyberfrågor, ofta i samarbete med andra likasinnade partner som t.ex. USA, Storbritannien eller Polen. Sverige har också deltagit inom den så</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">180</P> </DIV> </DIV> <DIV id="page_181"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td78"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td79"><P class="p16 ft92">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> </TR> </TABLE> <P class="p163 ft8">kallade Londonprocessen, som inneburit en rad återkommande internationella konferenser med syfte att bidra till ökad global samsyn inom cyberområdet. Nästa internationella cyberkonferens i detta format, som är på utrikesministernivå, äger rum våren 2015 i Haag och kommer att hantera ett brett spektrum av frågor: inter- nationell säkerhet, mänskliga rättigheter, kapacitetsbyggnad och <NOBR>governance-frågor.</NOBR></P> <P class="p243 ft33"><SPAN class="ft33">8.2</SPAN><SPAN class="ft48">Europeiska unionen</SPAN></P> <P class="p192 ft9">Inom EU regleras nät- och informationssäkerhet inom sektorn elektronisk kommunikation främst genom regler i de s.k. ram- direktivet och <NOBR>e-dataskyddsdirektivet.</NOBR> I ramdirektivet regleras tele- operatörers driftsäkerhet och incidentrapportering. I <NOBR>e-dataskydds-</NOBR> direktivet regleras operatörernas skydd av personuppgifter och s.k. integritetsincidenter. Båda dessa regleringar är införda i svensk rätt genom lagen (2003:389) om elektronisk kommunikation.</P> <P class="p243 ft16"><SPAN class="ft16">8.2.1</SPAN><SPAN class="ft63">ENISA</SPAN></P> <P class="p256 ft13">Europeiska unionens byrå för nät- och informationssäkerhet (European Union Agency for Network and Information Security, ENISA) inrättades 2004 med säte i Heraklion på Kreta, Grekland. Medan byråns ledning och administrationen alltjämt är kvar i Heraklion har den operativa avdelningen flyttat till Aten. Byrån är ett expert- och kompetenscentrum för informationssäkerhetsfrågor och ska öka gemenskapens och medlemsstaternas, och därigenom även näringslivets, förmåga att förebygga, åtgärda och lösa problem som rör nät- och informationssäkerhet.</P> <P class="p59 ft13">Byråns arbete bygger på insatser som Europeiska unionens medlemsstater har gjort och insatser som har gjorts på <NOBR>EU-nivå.</NOBR> Byrån ska ge råd till Europaparlamentet och Europeiska kom- missionen. Sammanfattningsvis är byråns arbetsuppgifter bl.a. att:</P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">analysera framväxande risker, framför allt på europeisk nivå,</SPAN></P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">bidra till större medvetenhet om nät- och informationssäkerhet,</SPAN></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">181</P> </DIV> </DIV> <DIV id="page_182"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p122 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">förbättra samarbetet mellan och inom till exempel näringslivet, forskare, leverantörer och användare av produkter och tjänster inom informationssäkerhetsområdet,</SPAN></P> <P class="p214 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">möjliggöra samarbete om utveckling av metoder för att före- bygga och hantera informationssäkerhetsproblem, och</SPAN></P> <P class="p247 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">att bidra till det internationella samarbetet utanför EU.</SPAN></P> <P class="p448 ft9">ENISA:s nät- och informationsverksamhet bestäms mer i detalj genom årliga arbetsprogram som fastställs av byråns styrelse. Sty- relsen består av alla medlemsstater och Europeiska kommissionen. <NOBR>EES-länderna</NOBR> får delta men utan rätt att rösta. För närvarande är den svenske styrelseledamoten även styrelseordförande. Myndig- heten leds av en verkställande direktör.</P> <P class="p72 ft8">ENISA deltar i många av de initiativ på området som initierats eller leds av kommissionen, som exempelvis EFMS (en informell grupp för medlemsstaternas utbyte av information om nät- och informationssäkerhetsfrågor) och <NOBR>NIS-plattformen</NOBR> (en informell grupp under kommissionen för att få input kring nät- och inform- ationssäkerhet från näringslivet).</P> <P class="p226 ft37">I enlighet med Europeiska kommissionens önskemål en översyn av den digitala agendan för Europa i december 2012 har det inom EU tagits fram en ”cybersäkerhetsstrategi” (se avsnitt 8.2.4) och före- slagits ett direktiv på området (se avsnitt 8.2.2 om <NOBR>NIS-direktivet).</NOBR> I genomförandet av denna strategi har det inte identifierats några åtgärder som gäller specifikt sektorn för elektronisk kommunikation. <NOBR>NIS-direktivet</NOBR> föreslås avseende driftssäkerhet och incident- rapportering inte träffa dagens teleoperatörer (vilkas driftssäkerhet och incidentrapportering regleras i annan lagstiftning, se ovan) men däremot andra <NOBR>it-företag.</NOBR></P> <P class="p449 ft8">I den digitala agendan för Europa (DAE) understryks stärkt politik för nät- och informationssäkerhet. Det enda med direkt relevans för sektorn elektronisk kommunikation avsåg modernise- ringen av ENISA:s mandat som beslutades 2013.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">182</P> </DIV> </DIV> <DIV id="page_183"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td78"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td79"><P class="p16 ft92">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> </TR> </TABLE> <P class="p450 ft16"><SPAN class="ft16">8.2.2</SPAN><SPAN class="ft63">Direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet inom hela unionen</SPAN></P> <P class="p400 ft9">Det pågår för närvarande förhandlingar inom EU avseende ett direktiv <NOBR>(NIS-direktivet)</NOBR> om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen. Syftet är att uppnå och vidmakthålla en hög gemensam nät- och informationssäkerhet inom hela EU för att förbättra den inre marknadens funktion.</P> <P class="p148 ft13">Direktivet ska bl.a. innehålla skyldigheter för alla medlemsstater rörande förebyggande åtgärder och åtgärder för att hantera och svara på allvarliga risker och incidenter som påverkar nätverk och informationssystem. Aktörer som omfattas av direktivet kan vara både myndigheter, kommuner, landsting och enskilda (inom sektorerna transport, vattenförsörjning, hälso- och sjukvård, bank och finans samt informationssamhällets tjänster). Direktivet ska innehålla krav på bestämmelser om sanktioner om operatörerna inte uppfyller sina skyldigheter och en överklagandemöjlighet.</P> <P class="p148 ft9">Direktivet ska vidare innehålla krav på en nationell strategi för nät- och informationssäkerhet, att det ska finnas en eller flera nationella myndigheter för nät- och informationssäkerhet, en nationell kontakt- punkt för nät- och informationssäkerhet, nationella incident- hanteringsorgan (CSIRT). Det ska också etableras ett nätverk för samarbete mellan medlemsstaterna, <NOBR>EU-kommissionen</NOBR> och the European Network and Information Security Agency, ENISA samt ett nätverk för de nationella incidenthanteringsorganen, CSIRTs, inklusive <NOBR>CERT-EU.</NOBR> Genom nätverk för behöriga nationella myndigheter ska medlemsstaterna utbyta information och samarbeta på grundval av den europeiska planen för samarbete inom detta område för att bekämpa nät- och informationssäkerhetshot och nät- och informationssäkerhetsincidenter.</P> <P class="p204 ft8">Direktivet kommer troligen att beslutas under våren 2015. Ut- redningen konstaterar att de skyldigheter som direktivet förväntas ålägga medlemsstaterna kan komma att behöva regleras för att Sve- rige ska kunna genomföra direktivet på ett korrekt sätt.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">183</P> </DIV> </DIV> <DIV id="page_184"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p451 ft18"><SPAN class="ft16">8.2.3</SPAN><SPAN class="ft81">EU:s digitala agenda och allmän uppgiftsskyddsförordning</SPAN></P> <P class="p244 ft8"><NOBR>EU-kommissionens</NOBR> digitala agenda för Europa (KOM[2010] 245) är ett av huvudinitiativen inom ramen för Europa 2020 – <SPAN class="ft35">En strategi för smart och hållbar tillväxt för alla</SPAN>, (KOM[2010] 2020), kallad Europa <NOBR>2020-strategin.</NOBR> Strategin lanserades i mars 2010 som ett led i att ta Europa ur den finansiella krisen och förbereda EU:s ekonomi för nästa årtionde. Den beskriver bland annat hur viktig användningen av informations- och kommunikationsteknik är för att Europa ska kunna uppnå de i strategin angivna målen.</P> <P class="p172 ft10">Förslag till åtgärder omfattar sju olika områden:</P> <P class="p45 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">En pulserande digital inre marknad</SPAN></P> <P class="p415 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Interoperabilitet och standardisering</SPAN></P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Tillit och säkerhet</SPAN></P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Snabb och ultrasnabb internettillgång</SPAN></P> <P class="p415 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Forskning och innovation</SPAN></P> <P class="p169 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Främjande av digital kompetens, digitala färdigheter och digital integration</SPAN></P> <P class="p45 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Vinster för </SPAN><NOBR>EU-samhället</NOBR> som möjliggörs av it</P> <P class="p119 ft16"><SPAN class="ft16">8.2.4</SPAN><SPAN class="ft63">Europeisk cybersäkerhetsstrategi</SPAN></P> <P class="p96 ft37">Europeiska kommissionen och utrikestjänsten (EEAS) presente- rade den 7 februari 2013 en övergripande europeisk cybersäkerhets- strategi – <SPAN class="ft62">En öppen, säker och trygg cyberrymd</SPAN>. Strategin berör it- frågor i ett brett perspektiv och presenterar unionens vision och principer för hur dess centrala värderingar och intressen ska komma till uttryck i cyberrymden. Strategin berör både <NOBR>EU-interna</NOBR> som externa aspekter av internetrelaterade frågor i ett brett per- spektiv och lyfter fram EU:s vision och principer för hur unionens centrala värderingar och intressen ska tydliggöras och tillvaratas inom cyberområdet. <NOBR>It-säkerhet,</NOBR> <NOBR>it-brottslighet,</NOBR> industri- och han- delsrelaterade frågor liksom <NOBR>utrikes-,</NOBR> säkerhets- och försvarspoli- tiska frågor inom cyberområdet är viktiga delar av strategin.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">184</P> </DIV> </DIV> <DIV id="page_185"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td78"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td79"><P class="p16 ft92">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> </TR> </TABLE> <P class="p429 ft9">Implementeringen och uppföljning av strategin och rådslutsatserna samt frågor som berör EU:s internationella cyberpolitik hanteras övergripande i den tillfälliga arbetsgruppen inom rådet, Friends of the Presidency Group on Cyber issues (FoP). Gruppen tillsattes av Coreper (de ständiga representanternas kommitté, Comité des représentants permanents) den 7 november 2012. Syftet med FoP är att förbättra det horisontella arbetet, öka medlemsstaternas insyn och stärka samordningen såväl internt som externt avseende cyberfrågor i vid mening. Gruppen ska utgöra ett strategiskt verktyg för unionens övergripande politiska mål på området. Under hösten 2013 fattades beslut om att utsträcka <NOBR>FoP-gruppens</NOBR> mandat med ytterligare tre år.</P> <P class="p148 ft13">Inom FoP verkar Sverige för en övergripande och strategisk inriktning och hantering av cyberfrågorna. Sverige har varit dri- vande såväl vid tillsättande av gruppen som i diskussionerna om dess fortsatta arbete mot bakgrund av vikten av att bidra till ut- vecklingen av EU:s cyberpolicy. Detta arbete tar utgångspunkt i grundläggande värderingar som mänskliga rättigheter, demokrati och rättsstatsprincipen. Sverige fortsätter att bidra till policy- utvecklingen när det gäller globala cyberfrågor inom EU och verkar aktivt för att utveckla uppföljningsarbetet till EU:s cybersäkerhets- strategi. Övergripande rådslutsatser på basis av strategin antogs 2013 och under 2014 har olika områden inom strategin följts upp, t.ex. med rådslutsatser om internets förvaltning och förhandlingar om rådslutsatser om EU:s cyberdiplomati.</P> <P class="p452 ft9">Ett ramverk för cyberförsvarsfrågor inom den gemensamma säkerhets- och försvarspolitiken (GSFP) har antagits som svar på en begäran från Europeiska rådet i december 2013, vilket också återspeglas i rådslutsatserna allmänt om GSFP från november 2014.</P> <P class="p153 ft8">Genomförande och uppföljning av strategin, liksom andra frågor som berör EU:s internationella cyberpolitik, hanteras övergripande inom rådet i vängruppen för cyberfrågor som tillsattes i slutet av år 2012 och vars mandat förlängdes med tre år under hösten 2013. Syftet med gruppen är att förbättra det horisontella arbetet, öka medlems- staternas insyn och stärka samordningen såväl internt som externt när det gäller cyberfrågor i vid mening. Vängruppen ska vara ett strategiskt verktyg för unionens övergripande politiska mål på området.</P> <P class="p452 ft9">Sverige verkar för en övergripande och strategisk inriktning och hantering av cyberfrågorna inom vängruppen. Sverige har varit dri-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">185</P> </DIV> </DIV> <DIV id="page_186"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">vande för att såväl strategin och dess uppföljningsarbete som grup- pens fortsatta arbete ska bidra till policyutvecklingen av en global cyber- och internetpolitik för EU, i linje med grundläggande värde- ringar och politiska prioriteringar som fred, säkerhet, mänskliga rättigheter och utveckling.</P> <P class="p126 ft16"><SPAN class="ft16">8.2.5</SPAN><SPAN class="ft63">Europol</SPAN></P> <P class="p102 ft8">Sedan den 1 januari 2013 finns det ett Europeiskt Cybercrime Center (EC3) vid Europol i Haag. EC3 är knutpunkten för EU:s <NOBR>it-brottsbekämpning</NOBR> och ska bl.a. bidra till kortare reaktionstid vid <NOBR>online-brott.</NOBR> EC3 ska stödja medlemsstaternas myndigheter i upp- byggnaden av operativ och analytisk kompetens för utredning och för samarbete med internationella partner. EC3 har fem huvud- funktioner inom den digitala brottsligheten:</P> <P class="p213 ft8"><SPAN class="ft12">6.</SPAN><SPAN class="ft77">Information och stöd: Insamling och bearbetning av inform- ation samt funktion som ”helpdesk” för medlemsländerna inom </SPAN><NOBR>it-brottsbekämpning.</NOBR></P> <P class="p213 ft8"><SPAN class="ft12">7.</SPAN><SPAN class="ft77">Operativt stöd: Stöd till medlemsländerna i det operativa arbetet inom teknik, analys, forensik och samordning.</SPAN></P> <P class="p453 ft10"><SPAN class="ft12">8.</SPAN><SPAN class="ft78">Framtagande av strategier: Hotbedömningar, trendutvecklingar och analyser.</SPAN></P> <P class="p342 ft10"><SPAN class="ft12">9.</SPAN><SPAN class="ft78">Forskning, utveckling och utbildning.</SPAN></P> <P class="p454 ft10">10.Uppsökande verksamhet: Utveckla samarbete med den privata sektorn och andra viktiga funktioner inom området.</P> <P class="p455 ft8">EC3 fokuserar på följande kärnområden av <NOBR>it-relaterad</NOBR> brottslig- het:</P> <P class="p213 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Organiserad brottslighet som genererar stora brottsvinster, t.ex. internetbedrägerier.</SPAN></P> <P class="p214 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Brott som orsakar stora skador hos brottsoffret som t.ex. it- relaterade sexualbrott mot barn.</SPAN></P> <P class="p214 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Brott som påverkar kritisk infrastruktur och informations- system inom den Europeiska Unionen, t.ex. dataintrång.</SPAN></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">186</P> </DIV> </DIV> <DIV id="page_187"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td78"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td79"><P class="p16 ft92">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> </TR> </TABLE> <P class="p66 ft8">Den 1 september 2014 inrättade Europol som ett pilotprojekt en Joint Cybercrime Taskforce <NOBR>(J-CAT)</NOBR> som ska stärka bekämp- ningen av <NOBR>it-brottslighet</NOBR> inom EU och globalt. Aktionsgruppen ska samordna internationella utredningar i syfte att agera mot de vik- tigaste hoten och aktörerna. I gruppen ingår både medlemsstaters brottsbekämpande myndigheter, myndigheter utanför EU och EC3. Förutom samordning av operativa insatser kommer aktions- gruppen att samla information från myndigheter och privata part- ner, analysera och bearbeta den för att kunna rikta in arbetet mot olika mål och nätverk.</P> <P class="p243 ft33"><SPAN class="ft33">8.3</SPAN><SPAN class="ft48">OECD</SPAN></P> <P class="p456 ft16"><SPAN class="ft16">8.3.1</SPAN><SPAN class="ft63">OECD:s arbete inom områdena informationssäkerhet och integritet</SPAN></P> <P class="p305 ft13">OECD, som grundades 1961, är ett samarbetsorgan för 34 länder och har sitt säte i Paris. Syftet med samarbetet är att bidra till till- växt, sysselsättning och ökad levnadsstandard i medlemsländerna, att bidra till sund ekonomisk utveckling, både i medlemsländerna och i omvärlden, samt att bidra till expansion av världshandeln. Samarbetet sker på marknadsekonomisk grund.</P> <P class="p166 ft8">OECD utgör ett forum för utbyte av idéer och erfarenheter samt analyser av frågor inom ett stort antal politikområden. Ett viktigt syfte är att medlemsländerna ska lära av varandra, diskutera gemensamma problem och aktuella internationella ekonomiska frågor. Insamling av statistik är omfattande, liksom publikations- verksamheten.</P> <P class="p15 ft13">OECD har cirka 200 kommittéer och arbetsgrupper. I dessa arbetar medlemsländerna, partnerländer och inbjudna organi- sationer tillsammans med OECD:s sekretariat med studier, rekom- mendationer och riktlinjer som stöd till medlemsländernas policy- utveckling. Dessa är inte juridiskt bindande, men förutsätts ändå ha en påverkan och efterföljas. Sekretariatet har drygt 2 500 anställda och den årliga budgeten ligger på cirka 350 miljoner euro. Beslut fattas med consensus, dvs. enhälligt.</P> <P class="p269 ft13">Verksamheten inom OECD är indelad i olika direktorat, där direktoratet för vetenskap, teknologi och industri (Directorate for Science Technology and Industry) har fyra underkommittéer. Den</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">187</P> </DIV> </DIV> <DIV id="page_188"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p362 ft8">ena av dessa arbetar med den digitala ekonomin (Committe on Digital Ecomony Policy, CDEP) som i sin tur har tre arbetsgrup- per. Arbetsgruppen för informationssäkerhet och integritet (Wor- king Party on Information Security and Privacy in the Digital Eco- nomy – WPSPDE) bildades redan 1992 och är den som närmast hanterar områden av betydels för utredningen.</P> <P class="p270 ft8">Arbetsgruppen förvaltar och reviderar löpande ett flertal rekommendationer och riktlinjer som redovisas nedan. Därutöver sker för närvarande arbete med att ta fram indikatorer för att mäta informationssäkerhet, bl.a. via data från CSIRTs, fortsatt arbete med <NOBR>ID-management</NOBR> samt utveckling av ”Privacy Risk Manage- ment”. En rapport har färdigställts tillsammans med hälsokommit- téen avseende säkerhet och integritet vid återanvändning av hälso- data. Tidigare arbete har bl.a. handlat om analys av medlemsstaters nationella strategier för informationssäkerhet, informationssäker- hetsfrågor avseende ”Internet of Things” och ”Big Data”, framta- gande av en rekommendation avseende skydd av barn som är upp- kopplade på internet (Protection of Children Online), analyser av nationella strategier avseende informationssäkerhet för kritisk in- frastruktur m.m. Artbetsgruppen bedriver också ett omfattande arbete med olika analyser inom dataskyddsområdet (personlig in- tegritet).</P> <P class="p457 ft16"><SPAN class="ft16">8.3.2</SPAN><SPAN class="ft63">OECD:s rekommendationer och riktlinjer – Security Guidelines</SPAN></P> <P class="p458 ft8">1992 utvecklade OECD sina första riktlinjer för att understödja medlemsstaternas arbete inom informationssäkerhetsområdet. Dessa reviderades år 2002 och genomgår för närvarande en ny revision som beräknas bli klar under våren 2015. Den pågående revisionen tar fasta på informationssäkerheten i nätverk och system utifrån ekonomiska och sociala välfärdsaspekter i en öppen, inter- nationell och uppkopplad teknisk miljö.</P> <P class="p270 ft13">Internet har blivit en allt viktigare plattform för samhällets funktionalitet. De digitala hoten ökar med mer sofistikerade aktö- rer. Nya former av ekonomiska och sociala störningar har uppkom- mit. Ökad digital mobilitet, molntjänster, sociala nätverk, sakernas internet (internet of things) m.m. är nya parametrar för informa- tionssystemen. Ambitionen är att de nya riktlinjerna ska ta dessa</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">188</P> </DIV> </DIV> <DIV id="page_189"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td78"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td79"><P class="p16 ft92">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> </TR> </TABLE> <P class="p203 ft8">och andra förändringar i beaktande utifrån ett holistiskt synsätt. Utgångspunkt är också ett riskbaserat synsätt då system och nätverk i dag bli med internationella, större och komplexa. Både förebyggande åtgärder och krishanteringsförmåga förutsätts.</P> <P class="p277 ft9">Den nya rekommendationen är indelad i tre sektioner: generella principer, operationella principer och om nationella strategier. Till rekommendationen finns också ett förklarande annex.</P> <P class="p148 ft13">De generella principerna handlar om att medvetandegöra alla berörda om vilka digitala säkerhetsrisker som de kan utsättas för genom utbildning och därigenom också ge nödvändiga färdigheter för att kunna bedöma och hantera dessa. Alla har ett gemensamt ansvar, utifrån den egna rollen eller verksamheten, beaktat att en viss risknivå är oundviklig utifrån ekonomiska eller sociala målsätt- ningar i en öppen och sammanvävd internationell miljö. Lednings- system för riskhantering (risk management) bör införas för att få en styrning av säkerhetsarbetet på ett transparent sätt och i enlig- het med mänskliga rättigheter och andra fundamentala värden. Global uppkoppling innebär också att alla aktörer behöver sam- arbeta internationellt och över landsgränser.</P> <P class="p245 ft8">De operationella principerna handlar om systematiska risk- och sårbarhetanalyser samt hantering av risker. Riskhanteringen kan resultera i att risken accepteras, reduceras, överförs, undviks eller kombinationer i de olika alternativen. Vidare handlar den andra sektionen om säkerhetsåtgärder, innovation och kontinuitetsplane- ring.</P> <P class="p153 ft8">OECD rekommenderar medlemsstaterna att anta nationella strategier, vilket behandlas i den tredje sektionen. Avsikten är att minska de digitala säkerhetsriskerna på alla nivåer, inom landet och över landsgränser, utan onödiga restriktioner som påverkar det fria dataflöden eller teknikutvecklingen. Andra aspekter är att skydda individer från digitala säkerhetshot (t.ex. dataintrång, identitets- stölder eller bedrägerier), att beakta behovet av nationell säkerhet och suveränitet samt att bevara mänskliga rättigheter och funda- mentala värden. Det sägs att strategierna ska riktas mot alla aktörer och vara anpassade för såväl små och medelstora företag som indi- vider. Allas ansvar och agerande utifrån den egna verksamheten och roller ska påtalas. Viktigt är också att stödja utbildning och träning av personal.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">189</P> </DIV> </DIV> <DIV id="page_190"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p459 ft13">Det anges att nationella strategier ska inkludera åtgärder som bör utföras av regeringarna. Exempel på sådana åtgärder anges också. Det handlar bl.a. om framtagande av en holistisk handlings- plan för den offentliga förvaltningen baserade på risk- och sårbar- hetsanalyser, bättre koordinering mellan relevanta myndigheter, inrättande av CSIRT, ökade informationssäkerhetskrav i offentliga upphandlingar och anställning av fler säkerhetsexperter, att stimu- lera FoU, innovation samt utvecklig av öppna standarder.</P> <P class="p226 ft13">Behovet av internationellt samarbete och assistans understryks. Deltagande i internationell fora, etablering av bilaterala och multi- laterala nätverk för utbyte av erfarenheter och bästa tillämpade teknik är vägar att gå. Internationellt samarbete för att bemöta gränsöverskridande hot och risker kan t.ex. ske via samarbete mel- lan CSIRT och genom internationell övningsverksamhet.</P> <P class="p103 ft8">Skapande av förtroendefullt samarbete mellan aktörer sker inte över en natt då informationen i många fall kan vara känslig eller t.o.m. hemlig och leda till skada om den kommer i orätta händer. Partnerskap och olika samarbeten mellan offentliga och privata aktörer, formella och informella, kan stimuleras med syfte att få till stånd förtroendefulla kunskaps- och erfarenhetsutbyten.</P> <P class="p110 ft8">Andra åtgärder som regeringarna kan vidta för att stimulera den digitala säkerheten är stöd till frivilliga märkningsordningar, upp- muntra till certifieringar och rapportering av incidenter. Statistiken på området behöver också utvecklas genom framtagande av nya och internationellt jämförbara indikatorer.</P> <P class="p206 ft16"><SPAN class="ft16">8.3.3</SPAN><SPAN class="ft63">Privacy Guidelines</SPAN></P> <P class="p159 ft9">Skydd av personuppgifter vid dataöverföring och datalagring är ett område som OECD arbetat med över 35 år. De första riktlinjerna beslutades år 1980 med bl.a. Australien och Sverige som pådrivande länder. Vid denna tid inrättades också Datainspektionen.</P> <P class="p103 ft9">Olaglig lagring av persondata, bevarande av inaktuella data och utlämnande av känsliga persondata är områden som berörs i rikt- linjerna. Persondata behöver emellertid också kunna hanteras på ett rationellt sätt inom viktiga sektorer av ekonomin, inom sjukvården och av myndigheter samt för forskningsändamål. Återanvändning av data är ett annat område. För att undvika skillnader i lagstift-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">190</P> </DIV> </DIV> <DIV id="page_191"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td78"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td79"><P class="p16 ft92">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> </TR> </TABLE> <P class="p145 ft10">ningen mellan länder och därigenom bl.a. underlätta för fria data- flöden över landsgränser utvecklades riktlinjerna.</P> <P class="p233 ft13">Åtta olika principer togs fram med begränsningar och krav på mängden insamlade persondata, datakvalitet, syftet, användningen, säkerhet, öppenhet kring användningen, individens rättigheter samt om ansvar för datahanteringen. Dessa kvarstår än i dag och har ut- vecklats ytterligare vid en revidering som slutförts år 2013. Två nya aspekter tillfördes då, dels behovet av att införa ett riskbaserat led- ningssystem för skydd av personuppgifter, dels att skapa ökad glo- bal interoperabilitet för området genom internationella regelverk. Nya koncept har också introducerats, bl.a. behovet av att utarbeta nationella strategier för hantering av persondata, behovet av led- ningsprogram för organisationer och om incidentrapportering vid dataläckage. Organisationers ansvar vid hantering av persondata lyfts särskilt fram.</P> <P class="p460 ft16"><SPAN class="ft16">8.3.4</SPAN><SPAN class="ft63">Recommendation on the Protection of Critical Information Infrastructure (CIIP)</SPAN></P> <P class="p400 ft13">Rekommendationen bygger på studier och analyser utförda 2006– 2007 i sju <NOBR>OECD-länder.</NOBR> Området var då under utveckling och visade på skillnader i utveckling av policyer, praktisk riskhantering, uppfölj- ning och hantering av sårbarheter, roller och ansvar m.m. Rekommen- dationen beskriver olika koncept för skydd av kritiska infrastrukturer och hur dessa definieras i olika länder. Behovet av att även införa nationella handlingsplaner, i enlighet med ovan nämnda ”security guidelines”, rekommenderas. Fokus ligger på hur regeringarna kan demonstrera ett ledarskap och engagemang när det gäller risk- hantering i samarbete med den privata sektorn. Informationsspridning på såväl regional som global nivå är exempel på åtgärder som kan initieras.</P> <P class="p153 ft8">Under 2014 presenterades förslag till ändringar i <NOBR>CIIP-rekom-</NOBR> mendationen utifrån vunna erfarenheter från revisionen av “secu- rity guideline”. Översynen kommer enligt planeringen att slutföras under 2016.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">191</P> </DIV> </DIV> <DIV id="page_192"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p339 ft16"><SPAN class="ft16">8.3.5</SPAN><SPAN class="ft63">Guidelines for Cryptography Policy</SPAN></P> <P class="p340 ft9">Kryptografi möjliggör överföring av information på ett skyddat sätt, där möjligheterna att förvanska innehållet försvåras eller omöjliggörs. De flesta <NOBR>OECD-länder</NOBR> har utvecklat och infört policyer och lagstiftningar kring användningen av kryptografi. Olikheter i dessa regelverk kan emellertid skapa hinder vid ut- veckling av t.ex. nationella och globala nätverk för elektronisk kommunikation och därmed vara handelshindrande. 1996 initierade OECD därför ett projekt kring kryptografi då medlemsstaterna såg behovet av att skapa en bättre harmonisering kring utvecklingen av en effektivare och säker <NOBR>it-infrastruktur.</NOBR> Avsikten var att nå enig- het kring viss policy- och regleringsfrågor vid användning av kryp- ton i elektroniska nätverk. Hänvisning finns också till digitala sig- naturer. Riktlinjerna, med åtta grundläggande principer, har en stor bredd och ger uttryck för medlemsstaternas olika uppfattningar. Dessa finns också i ett bakgrundsdokument. Något behov av att i dagsläget revidera rekommendationen har inte framställts.</P> <P class="p461 ft73"><SPAN class="ft33">8.4</SPAN><SPAN class="ft72">FN:s arbete och internationella initiativ inom cyberområdet</SPAN></P> <P class="p263 ft16"><SPAN class="ft16">8.4.1</SPAN><SPAN class="ft63">FN:s generalförsamlings första utskott</SPAN></P> <P class="p75 ft9">I FN:s generalförsamlings första utskott som tillägnas nedrustning och internationell säkerhet har cybersäkerhet behandlats utifrån ett internationellt säkerhetspolitiskt perspektiv. Tongivande har bl.a. en rysk utskottresolution varit som sedan 1998 har uppmärksam- mat utvecklingen av informations- och telekommunikationstekno- logier i en internationell säkerhetskontext. Resolutionen tar bl.a. upp frågan med risker och hot i samband med användande av dessa teknologier, liksom möjliga samarbetsåtgärder som skulle kunna vidtas för att hantera denna utveckling, inklusive utvecklandet av normer och förtroendebyggande åtgärder. Resolutionen, som oftast antagits utan omröstning och under tidigare år inte getts så stor uppmärksamhet, har gett mandat till statsexpertgrupper inom området, Group of Governmental Experts (GGE). Sådana grupper har utsetts vid fyra tillfällen, och två gånger har konsensus nåtts kring en rapport om gruppens överläggningar. Särskilt den GGE-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">192</P> </DIV> </DIV> <DIV id="page_193"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td78"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td79"><P class="p16 ft92">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> </TR> </TABLE> <P class="p66 ft8">rapport som antogs 2013 har setts som ett viktigt framsteg då den bl.a. konstaterade att internationell rätt, och särskilt <NOBR>FN-stadgan,</NOBR> var applicerbar inom cyberområdet. Den fjärde <NOBR>GGE-gruppen</NOBR> (med utökat deltagarantal till 20 experter) tillsattes förra året och har nyligen påbörjat sitt arbete med syfte att rapportera till UNGA 2015.</P> <P class="p14 ft8">Sedan några år tillbaka har hanteringen av dessa frågor i UNGA:s första utskott föranlett ett särskilt svenskt engagemang; Sverige har sedan 2011 tagit initiativ till ett särskilt gemensamt anförande för att förklara vår och andra likasinnades hållning till den ryska resolutionen. En huvudorsak till detta initiativ med ett gemensamt anförande var de utkast till uppförandekod och konvention kring informationssäkerhet som Ryssland tillsammans med Kina, Tadzjikistan och Uzbekistan cirkulerade för några år sedan. Utformningen och innehållet i dessa dokument ansågs inte acceptabelt av flera skäl, inte minst i ett människorätts- och yttrandefrihetsperspektiv.</P> <P class="p15 ft13">Samtidigt som de framsteg som den statliga <NOBR>FN-expertgruppen</NOBR> har gjort välkomnas, har det gemensamma anförandet betonat behovet av ett brett säkerhetsperspektiv som lyfter fram mänskliga rättigheter men även flerpartsmodellen för internets styrning. Sverige – för första gången i nationell kapacitet – rapporterade 2014 till FN:s generalsekreterare om vår syn på <NOBR>ICT-relaterade</NOBR> frågor i ett internationellt säkerhetsperspektiv, i enlighet med inbjudan att göra så som framförs i den ryska resolutionen.</P> <P class="p191 ft16"><SPAN class="ft16">8.4.2</SPAN><SPAN class="ft63">FN:s generalförsamlings andra utskott</SPAN></P> <P class="p256 ft9">FN:s generalförsamlings andra utskott behandlar allmänt ekonomiska och sociala frågor, inklusive utvecklingsfrågor. En viktig resolution som lyfter fram vikten av den potential som ICT (Information and Communications Technology) kan innebära för ekonomisk och social utveckling är den så kallade <NOBR>ICT4D-resolutionen</NOBR> i FN:s general- församlings andra utskott. Ett högnivåmöte kommer att äga rum inom ramen för de så kallade World Summit on the Information Society (WSIS) som avses hållas under hösten 2015. De omfattande förberedande förhandlingarna inför översynen i ITU och Unesco är avslutade. Den så kallade Commission for Science and Technology for</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">193</P> </DIV> </DIV> <DIV id="page_194"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p462 ft8">Development (CSTD) förbereder en syntesrapport som ska delges UNGA inför hösten. Textförhandlingar inför <NOBR>WSIS-toppmötet</NOBR> 2015 påbörjas under våren 2015.</P> <P class="p119 ft16"><SPAN class="ft16">8.4.3</SPAN><SPAN class="ft63">FN:s generalförsamlings tredje utskott</SPAN></P> <P class="p96 ft8">FN:s generalförsamlings tredje utskott ägnas åt människorätts- frågor, inklusive vad gäller fullt åtnjutande av mänskliga rättigheter på internet. En aktuell fråga i detta utskott har berört det brasi- <NOBR>liansk-tyska</NOBR> initiativet att introducera en resolution om rätten till privatliv i den digitala eran. Detta genererade en omfattande för- handlingsprocess som även Sverige deltog mycket aktivt i. Resolutionen ombad FN:s högkommissarie för mänskliga rättig- heter att ta fram en rapport på området, som nu publicerats och diskuterats i FN:s råd för mänskliga rättigheter.</P> <P class="p243 ft16"><SPAN class="ft16">8.4.4</SPAN><SPAN class="ft63">FN:s råd för mänskliga rättigheter</SPAN></P> <P class="p142 ft13">I FN:s råd för mänskliga rättigheter i Geneve antogs 2012 reso- lution 20/8 med Sverige som en av initiativtagarna. Resolutionen togs med konsensus och bekräftar – för första gången i sådant sammanhang – att samma rättigheter som finns offline också gäller online. En uppföljningsresolution antogs under 2014, där även frågor rörande rätten till utbildning och styrningsfrågor togs upp.</P> <P class="p285 ft8">Högkommissariens rapport om Right to Privacy in the Digital Age diskuterades i en panel i FN:s råd för mänskliga rättigheter i september och presenteras i UNGA:s tredje utskott i oktober. Det är också möjligt att frågan om en ny specialrapportör för rätten till privatliv kommer att avhandlas under vårens sessioner i FN:s råd för mänskliga rättigheter. Debatten kan förväntas beröra ställ- ningstaganden kring bl.a. extraterritoriell tillämpning av mänskliga rättigheter och rapportens kritik mot användandet av hemliga dom- slut i underrättelsedomstolar.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">194</P> </DIV> </DIV> <DIV id="page_195"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td78"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td79"><P class="p16 ft92">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> </TR> </TABLE> <P class="p249 ft16"><SPAN class="ft16">8.4.5</SPAN><SPAN class="ft63">World Summit on the Information Society</SPAN></P> <P class="p463 ft13">I <NOBR>FN-kontexten</NOBR> har en viktig konfliktyta funnits kring den så kal- lade <NOBR>WSIS-processen</NOBR> (World Summit on the Information Society)</P> <P class="p464 ft13"><SPAN class="ft12">–</SPAN><SPAN class="ft93">en i grunden utvecklingsfokuserad process som påbörjades genom två toppmöten i Geneve 2003 och Tunis 2005, där Sverige deltog med en </SPAN><NOBR>40-mannadelegation.</NOBR> Den ursprungliga bärande idén, att förbättra FN:s arbete för att bättre tillgång till ICT i låg- och medelinkomstländer, hamnade snart i skymundan till förmån för skarpa motsättningar kring huruvida kontrollen över internets centrala tekniska resurser, standarder m.m. skulle styras i en flerpartsmodell eller genom instiftandet av nya <NOBR>FN-organ.</NOBR></P> <P class="p14 ft8">En kompromisslösning, som inbegrep skapandet av en öppen, global mötesplats i FN:s regi – Internet Governance Forum – samt ett löfte om att de närmaste tio åren etablera ”enhanced cooperation”, en formulering utan tydlig definition, gjorde att den så kallade Tunisagendan kunde antas.</P> <P class="p269 ft13">Tio år efter toppmötet i Tunis har en utvärderingsprocess – där Internationella teleunionen och Unesco spelat framträdande roller</P> <P class="p465 ft8"><SPAN class="ft12">–</SPAN><SPAN class="ft94">precis avslutats. Sverige har varit mycket aktiv i båda processerna. Ett högnivåmöte inom ramen för </SPAN><NOBR>WSIS-processen</NOBR> kommer att hållas hösten 2015. Textförhandlingar kring ett slutsatsdokument kommer inledas under senvåren 2015.</P> <P class="p466 ft16"><SPAN class="ft16">8.4.6</SPAN><SPAN class="ft63">Working Group on Enhanced Cooperation, Commission on Science and Technology for Development (CSTD) inom ECOSOC</SPAN></P> <P class="p420 ft8">Sverige var ett av ett fåtal <NOBR>EU-länder</NOBR> som under <NOBR>2013–2014</NOBR> deltog i förhandlingarna i den arbetsgrupp inom Commission on Science and Technology for Development (CSTD), en kommitté under ECOSOC, som uppdrogs av FN:s generalförsamling att hitta en väg ur de låsningar i synen på mellanstatligt samarbete på internet- området som var resultatet av <NOBR>WSIS-toppmötet</NOBR> i Tunis. Motsätt- ningarna i arbetsgruppen var dock alltför stora och förhandlingarna resulterade inte i några gemensamma rekommendationer av sub- stansvärde. Konflikten som gruppen sattes att lösa kvarstår därmed och kommer sannolikt att åter komma i fokus under <NOBR>WSIS-hög-</NOBR> nivåmötet hösten 2015.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">195</P> </DIV> </DIV> <DIV id="page_196"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p178 ft16"><SPAN class="ft16">8.4.7</SPAN><SPAN class="ft63">Internationella teleunionen (ITU)</SPAN></P> <P class="p467 ft8"><NOBR>FN-organet</NOBR> den Internationella teleunionen (ITU) hanterar vissa frågor relaterade till cybersäkerhet. Den verkställande delen av ITU är IMPACT (International Multilateral Partnership Against Cyber Threats), vilket även är den första internationella alliansen mot digitala hot. IMPACT ger ITU:s 193 medlemsstater tillgång till expertis, utrustning och resurser för att effektivisera hanteringen av cyberhot samt att bistå för att skydda infrastrukturen hos samtliga FN organ.</P> <P class="p284 ft8">ITU:s senaste fullmaktskonferens hölls mellan den 20 oktober och den 7 november 2014 i Busan, Sydkorea.</P> <P class="p243 ft16"><SPAN class="ft16">8.4.8</SPAN><SPAN class="ft63">NETmundialkonferensen i Brasilien</SPAN></P> <P class="p167 ft8">Under april 2014 tog Brasilien ett fristående initiativ genom att bjuda in till det s.k. <NOBR>NETmundial-mötet</NOBR> i Sao Paulo. Mötet arrangerades som en direkt konsekvens av de avslöjandena om massövervakning som framkomit under året, men kom till slut att i mycket begränsad utsträckning hantera övervakningsfrågorna. Deltagandet var brett och förhandlingarna öppna och inkluderande. Sverige betonar gärna utfallet från detta initiativ, snarare än den nu alltför politiserade <NOBR>WSIS-processen,</NOBR> som normgivande för det bredare internet <NOBR>governance-området.</NOBR></P> <P class="p243 ft16"><SPAN class="ft16">8.4.9</SPAN><SPAN class="ft63">Londonprocessen</SPAN></P> <P class="p96 ft9">Den så kallade Londonprocessen har informellt fått beteckna de internationella cyberkonferenser som tog sin början genom ett brittiskt initiativ. I London anordnades 2011 en konferens med Storbritanniens dåvarande utrikesminister William Hague för att diskutera normer inom ramen för cybersäkerhetsfrågor, med för- hoppningen om att öka samstämmigheten inom dessa frågor i den internationella debatten. Diskussionerna fortsatte i Budapest 2012 och i Seoul 2013, där 87 länder deltog. Denna konferenskedja går närmast vidare med ”Global Conference on Cyberspace” i Haag i april 2015. Samtliga konferenser har berört aspekter angående eko- nomiska möjligheter på internet, kapacitet främjande, cyberbrott</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">196</P> </DIV> </DIV> <DIV id="page_197"> <DIV id="id_1"> <P class="p4 ft21">SOU 2015:23 Internationella utvecklingslinjer, organisationer och dialoger</P> <P class="p468 ft10">och internationell säkerhet. Haagkonferensen kommer därtill behandla frågor rörande internets globala styrning.</P> <P class="p191 ft16"><SPAN class="ft16">8.4.10</SPAN><SPAN class="ft84">Freedom Online Coalition (FOC)</SPAN></P> <P class="p90 ft8">Freedom Online Coalition (FOC) är en koalition av 23 länder som grundades 2011. Initiativet till koalitionen togs av Nederländerna och Sverige ingick i den första kretsen av 14 medlemmar. Koalitionens ursprungliga mål var att samarbeta mot övergrepp av de mänskliga rättigheterna på internet och i internationella fora samt att stötta bloggare och andra i repressiva miljöer och att stärka dialogen med <NOBR>it-branschen</NOBR> om företagens ansvar för att respektera yttrandefrihet på internet. Vid grundandet antogs en handlingsplan och en gemensam fond för skyndsamma insatser till stöd för ut- satta <NOBR>MR-aktivister</NOBR> och bloggare etablerades. Fonden (Digital Defenders Partnership) har sedan detta blivit operativ och mottar stöd från bl.a. Sida.</P> <P class="p15 ft9">Samarbetet inom FOC har under bara ett fåtal år fördjupats av- sevärt. Koalitionen har ett gemensamt sekretariat som för när- varande finansieras av Nederländerna och USA och som effektivt driver arbetet framåt. De i alliansen ingående länderna samordnar positioner inför möten i multilaterala forum, bereder gemensamma inlagor till internationella organisationer och gör gemensamma ut- talanden. Tre arbetsgrupper har etablerats inom FOC. Dessa ska i samarbete med näringslivet, akademi och civilsamhälle, upprätthålla och föra diskussionerna framåt mellan ministerkonferenserna. Sve- rige har nyligen påbörjat arbetet kring en arbetsgrupp om rule of law- och utvecklingsfrågor. Sverige deltar också i en arbetsgrupp om ”Privacy and transparency online” som leds av Storbritannien. Arbetsgrupperna förväntas öka i betydelse allteftersom förvänt- ningarna och intresset från näringsliv och civilsamhället tilltar.</P> <P class="p59 ft13">Ett stort antal informella samordningsmöten har hållits inom FOC:s ram, inom bland annat OSSE, Unesco, UNGA, ITU m.m. Likaså arrangeras varje år, under den årliga flerpartskonferensen Internet Governance Forum, en öppen diskussionspanel samt sär- skilda möten med företrädare för civilsamhället och <NOBR>MR-försvarare.</NOBR> Ordförandeskapet i koalitionen roterar och tas över av det land som arrangerar påföljande konferens. Således är Estland för när-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">197</P> </DIV> </DIV> <DIV id="page_198"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft10">varande ordförande fram till det att Mongoliet tar över under våren 2015.</P> <P class="p352 ft8">Förutom den grundande konferensen i Haag 2011 har tre FOC- konferenser genomförts på ministernivå – i Nairobi 2012, Tunis 2013 samt i Tallinn 2014. Nästa ministerkonferens kommer att hållas i Ulan Bator, Mongoliet under 2015.</P> <P class="p126 ft33"><SPAN class="ft33">8.5</SPAN><SPAN class="ft48">OSSE</SPAN></P> <P class="p65 ft9">Den 3 december 2013 beslutade medlemsstaterna i Organisationen för säkerhet och samarbete i Europa (OSSE) att anta en första upp- sättning av förtroendeskapande åtgärder <NOBR>(”Confidence-building</NOBR> measures” – CBMs) inom cybersäkerhetsområdet. Åtgärderna syftar till att främja samarbete, transparens, förutsägbarhet och stabilitet och således minska risken för missförstånd, eskalering eller konflikter i cyberrymden. I beslutet betonas att implemente- ringen av åtgärderna ska vara i linje med internationell rätt (särskilt <NOBR>FN-stadgan,</NOBR> den Internationella konventionen om medborgerliga och politiska rättigheter och Helsingforsslutakten).</P> <P class="p104 ft9">Enligt de överenskomna förtroendeskapande åtgärderna åtar sig de deltagande staterna att frivilligt deklarera aspekter av nationella och transnationella hot angående information- och kommuni- kationsteknologi. Staterna kan även, på en frivillig basis, bistå med konsultationer för att minska riskerna för missförstånd och politisk spänning. För att ytterligare reducera missförstånd i brist på en gemensam syn på terminologifrågor har stater möjlighet att till- kännage nationellt definierade termer relaterade till cybersäkerhet.</P> <P class="p104 ft37">EU har tillsammans med USA varit drivande i arbetet som syf- tar till att skapa förtroendebyggande åtgärder för cybersäkerhet inom OSSE. Sverige har särskilt värnat en tvärdimensionell ansats för att säkerställa att såväl människorätts- som säkerhetsaspekter bejakas. För svenskt vidkommande har det således varit angeläget att åtaganden inom den så kallade mänskliga dimensionen (som en av tre huvudinriktningar av OSSE:s arbete) har en framskjuten plats i arbetet. Vidare avses att redan beslutade förtroendebyggande åtgärder ska implementeras och utvecklas, samt att nya åtgärder bör främjas. Ett normativt ramverk för statsagerande anses kunna främja global utveckling inom området.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">198</P> </DIV> </DIV> <DIV id="page_199"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td78"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td79"><P class="p16 ft92">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> </TR> </TABLE> <P class="p249 ft33"><SPAN class="ft33">8.6</SPAN><SPAN class="ft48">Europarådet</SPAN></P> <P class="p68 ft13">Europarådet arbetar med sina 47 medlemsländer, den privata sek- torn, civilsamhället och andra aktörer för att forma ett internet som baseras på mänskliga rättigheter, en pluralistisk demokrati och rättsstatsprincipen. Den övergripande målsättningen är att bidra till en säker och öppen internetmiljö där yttrandefrihet, mötesfrihet, mångfald, kultur, utbildning och kunskap kan blomstra.</P> <P class="p13 ft8">Europarådets verksamhet omfattat konventioner inom områden som <NOBR>it-brottslighet,</NOBR> dataskydd och skydd för barn, via utveckling av rekommendationer till medlemsländerna och av riktlinjer för internetaktörer inom den privata sektorn.</P> <P class="p14 ft8">Organisationen är aktiv i olika internationella internetrelaterade forum, inklusive det <NOBR>FN-ledda</NOBR> forumet Internet Governance Forum (IGF), den europeiska dialogen om Internetstyrningsfrågor (EuroDIG) och är observatör till den mellanstatliga rådgivande kommittén (GAC) till ICANN (Internet Corporation för Assig- ned Names och Numbers).</P> <P class="p15 ft37">Den 23 november 2001 antogs Europarådets konvention om it- relaterad brottslighet, också känd under namnet Budapest- konventionen. Detta är första internationella konvention som berör brott som begås över internet och utgör fortfarande det enda bindande rättsinstrumentet vars övergripande mål är att skydda och främja frihet, säkerhet och mänskliga rättigheter på internet. Kon- ventionens syfte är primärt att skapa en gemensam straffrättslig policy för skyddet av samhället mot cyberbrottslighet. Konventionen trädde i kraft den 1 juli 2004. Majoriteten av EU:s medlemsländer har ratificerat konventionen. Även stater som inte är medlemmar i Europarådet kan ansluta sig till konventionen, bland annat har den undertecknats av USA, Kanada, Japan och Sydafrika. Sverige undertecknade konventionen samma dag den öppnades för signering. Frågor om kriminalisering av gärningar av rasistisk och främlings- fientlig natur som begåtts med hjälp av datorsystem behandlas i ett tilläggsprotokoll till konventionen – vilket tillkom den 28 januari 2003. Sverige undertecknade protokollet samma dag. Det trädde i kraft den 1 mars 2006. Beredning för att förbereda en svensk ratificering av konventionen och dess tilläggsprotokoll pågår.</P> <P class="p428 ft10">I mars 2012 antog Europarådet en ny strategi för internetstyr- ning; (Council of Europe Strategy <NOBR>2012–2015</NOBR> on Internet Gover-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">199</P> </DIV> </DIV> <DIV id="page_200"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">nance). Strategin avser att identifiera prioriteringar och målsätt- ningar för perioden <NOBR>2012–2015,</NOBR> med syftet att utveckla och skydda respekten för mänskliga rättigheter, rättsstaten samt demokrati på nätet.</P> <P class="p426 ft10">I april 2014 lanserade Europarådet en guide för nätfrihet –</P> <P class="p469 ft9">”Recommendation CM/Rec(2014)6 of the Committee of Ministers to member States on a Guide to human rights for Internet users” – avsedd att informera internetanvändare om deras rättigheter på internet samt vad de kan göra om rättigheterna inskränks. Guiden anger att medlemsstaterna i Europarådet har skyldighet att säkra mänskliga rättigheter i enlighet med Europakonventionen även på internet. Dokumentet anger även att andra instrument som reglerar frågor angående yttrandefrihet på nätet, rättighet till information, skydd av privatliv samt skydd från cyberbrott är tillämpliga online.</P> <P class="p206 ft33"><SPAN class="ft33">8.7</SPAN><SPAN class="ft48">Nato</SPAN></P> <P class="p161 ft8">Natos strategiska koncept som antogs vid toppmötet i Lissabon 2010 betonar vikten av att Nato utvecklar sin förmåga på cyber- försvarsområdet. Cyberförsvar ingår som del av Natos kärnuppgift kollektivt försvar, vilket bekräftades av deklarationen från topp- mötet i Wales 2014. Nato beslutar i varje enskilt fall om ett cyber- angrepp mot en medlemsstat ska utlösa de ömsesidiga försvars- förpliktelserna i Artikel 5 i Natofördraget.</P> <P class="p103 ft8">Ett av initiativen under senare tid för att öka förståelsen och kunskapen om hotbilder inom cybersäkerhetområdet är det Nato- ackrediterade cyberförsvarscentret NATO Cooperative Cyber Defence Centre of Excellence <NOBR>(CCD-COE),</NOBR> vilket har upprättats i Tallinn, Estland. År 2013 presenterade en expertgrupp knutna till centret olika perspektiv på hur folkrättsliga normer kan appliceras inom cyberområdet. Arbetet har sammanställts i en rapport –</P> <P class="p470 ft10">”Manual on the International Law Applicable to Cyber Warfare” –</P> <P class="p471 ft8">även känt som Tallinnmanualen. Detta dokument är inte bindande utan ger endast uttryck för ett antal experters syn. Manualen upp- märksammar internationell lag som reglerar genomförandet av väp- nade konflikter.</P> <P class="p103 ft8">Försvarsmakten samverkar med Nato inom ramen för plane- rings- och utvärderingsprocessen PARP i syfte att utveckla sam-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">200</P> </DIV> </DIV> <DIV id="page_201"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td78"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td79"><P class="p16 ft92">Internationella utvecklingslinjer, organisationer och dialoger</P></TD> </TR> </TABLE> <P class="p163 ft10">arbetet på cyberförsvarsområdet vad avser internationell militär krishantering.</P> <P class="p472 ft13">I Försvarsdepartementets rapport ”Raminstruktion för det civila krisberedskapsarbetet inom NATO (EAPR/PFF)” framgår att</P> <P class="p20 ft38">Sverige ska vara ett drivande partnerland samt att cyberförsvar är ett prioriterat område. Sverige ska utnyttja möjligheterna till erfa- renhetsutbyte och deltar således också i övningar på området.</P> <P class="p286 ft33"><SPAN class="ft33">8.8</SPAN><SPAN class="ft48">Interpol</SPAN></P> <P class="p54 ft8">Den 30 september 2014 invigdes Interpol Global Complex for Innovation (IGCI) i Singapore som kan beskrivas som ett forsk- nings- och utvecklingscentrum. Inom IGCI inryms Interpols Digital Crime Centre som har till uppdrag att öka informations- säkerhet och motverka <NOBR>it-relaterade</NOBR> brott. I centret inryms ett kri- minaltekniskt laboratorium för att stödja utredningar rörande digitala brott. Det bedrivs forskning- och utvecklingsverksamhet som syftar till att testa protokoll, verktyg och tjänster samt till att utveckla praktiska lösningar i samarbete med polisen, forsknings- laboratorier, universitet, offentlig och privat sektor. Centret anlyserar också trender rörande <NOBR>it-attacker.</NOBR></P> <P class="p13 ft8">IGCI:s tre viktigaste initiativ i förhållande till medlemsstaterna fokuserar på harmonisering, kapacitetsuppbyggnad samt operativt och kriminaltekniskt stöd.</P> <P class="p407 ft13"><SPAN class="ft41"></SPAN><SPAN class="ft24">Harmonisering: jämförande granskningar av nationell lagstift- ning, strategiutveckling rörande informationssäkerhet och råd- givning till enskilda medlemsstater rörande nationella strategier.</SPAN></P> <P class="p473 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">Kapacitetsuppbyggnad: brett utbud av utbildningar rörande nya trender inom </SPAN><NOBR>it-brottslighet,</NOBR> utredningsteknik, digital krimi- nalteknik, m.m. Särskilt fokus på <NOBR>training-the-trainers.</NOBR></P> <P class="p474 ft9"><SPAN class="ft41"></SPAN><SPAN class="ft23">Operativt och kriminaltekniskt stöd: Stöd till nationella utred- ningar och samordning av internationella insatser. Regional samordning i arbetsgrupper för Afrika, Amerika, Europa och Asien samt Mellanöstern och Nordafrika. Arbetsgrupper har skapats för att underlätta utvecklingen av regionala strategier, teknik och delning av information om de senaste brottstrenderna.</SPAN></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">201</P> </DIV> </DIV> <DIV id="page_202"> </DIV> <DIV id="page_203"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323203x1.jpg/" id="img1"> </DIV> <P class="p4 ft7">9 Överväganden och förslag</P> <P class="p475 ft73"><SPAN class="ft33">9.1</SPAN><SPAN class="ft72">En nationell strategi för statens informations- och cybersäkerhet</SPAN></P> <P class="p476 ft10"><SPAN class="ft16">Förslag</SPAN>: Regeringen antar en strategi som tar sikte på att stärka informations- och cybersäkerheten i staten.</P> <P class="p477 ft16"><SPAN class="ft16">9.1.1</SPAN><SPAN class="ft63">Inledning</SPAN></P> <P class="p90 ft8">Utredningen har i avsnitt 4.4 pekat på att sårbarheterna som upp- står i dagens globala <NOBR>it-system</NOBR> är, och kommer inom överskådlig framtid att vara en av våra mest komplexa frågor att hantera. De hot som finns mot informations- och cybersäkerheten och Sverige som nation kräver både sektorsövergripande och internationellt samarbete. Sveriges strategiska samarbetspartners uppfattar pro- blemet på liknande sätt och satsar på att öka sitt internationella samarbete.</P> <P class="p15 ft8">Sverige måste i ljuset av detta perspektiv fortsätta att bygga sin nationella kapacitet och stärka skyddet av såväl kritisk infrastruktur som hela den statliga förvaltningen för att därmed kunna hantera och avvärja hot mot statliga informationstillgångar.</P> <P class="p58 ft8">Endast med detta tillvägagångssätt kommer Sverige över tid att kunna säkra de många fördelar det digitala samhället erbjuder indi- viden, staten och näringslivet i form av ekonomisk tillväxt, inno- vation och nationell säkerhet</P> <P class="p478 ft20">203</P> </DIV> <DIV id="page_204"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p178 ft16"><SPAN class="ft16">9.1.2</SPAN><SPAN class="ft63">Bakgrund</SPAN></P> <P class="p467 ft8">I propositionen. 2001/02:158 s. 103 gjorde regeringen följande bedömning i fråga om en strategi för informationssäkerhet i sam- hället och skydd av samhällsviktiga <NOBR>it-beroende</NOBR> system.</P> <P class="p479 ft65">Målet bör vara att upprätthålla en hög informationssäkerhet i hela samhället som innebär att man skall kunna förhindra eller hantera störningar i samhällsviktig verksamhet. Strategin för att uppnå detta mål bör liksom övrig krishantering i samhället utgå från ansvarsprinci- pen, likhetsprincipen och närhetsprincipen. Principiellt gäller att den som ansvarar för informationsbehandlingssystem även ansvarar för att systemet har den säkerhet som krävs för att systemet skall fungera till- fredsställande. En viktig roll för staten är därför att se till hela sam- hällets behov av informationssäkerhet och vidta de åtgärder som rimli- gen inte kan åvila den enskilda systemägaren. För att förhindra allvar- liga informationsattacker mot Sverige bör underrättelse- och säker- hetstjänsternas arbete förstärkas.</P> <P class="p152 ft89"><SPAN class="ft38">I betänkandet </SPAN>Säker information Förslag till informationssäkerhets- politik <SPAN class="ft38">(SOU 2005:42 s. 56 f.) sammanfattade InfoSäkutredningen de överordnade målen för informationssäkerheten, utifrån ett verk- samhetsorienterat perspektiv:</SPAN></P> <P class="p480 ft13"><SPAN class="ft10">–</SPAN><SPAN class="ft95">Infrastruktur: Samhällets infrastruktur för informationstjänster ska vara robust och säker i förhållande till de funktioner den utför. Kritiska informationssystem ska vara så säkra att en skada inte får större verkningar än som kan anses acceptabla.</SPAN></P> <P class="p481 ft9"><SPAN class="ft10">–</SPAN><SPAN class="ft96">Verksamhet: Det ska byggas en säkerhetskultur runt användan- det och utvecklingen av IT i Sverige. Informationssäkerhet ska vara en central faktor vid användandet av IT i Sverige.</SPAN></P> <P class="p169 ft8"><SPAN class="ft10">–</SPAN><SPAN class="ft55">Medborgare: Sverige ska ha en allmänt tillgänglig samhällsinfra- struktur för elektroniska signaturer, autentisering av avsändare av elektronisk information samt säker överföring av känslig in- formation.</SPAN></P> <P class="p169 ft8"><SPAN class="ft10">–</SPAN><SPAN class="ft55">Styrning: Regelverk som berör informationssäkerhet ska tillhan- dahållas och vidareutvecklas på ett samordnat och för använ- darna enkelt och översiktligt sätt.</SPAN></P> <P class="p169 ft8"><SPAN class="ft10">–</SPAN><SPAN class="ft55">Utbildning: Det ska finnas möjligheter till utbildning inom in- formationssäkerhetsområdet för alla målgrupper.</SPAN></P> </DIV> <DIV id="id_3"> <P class="p4 ft20">204</P> </DIV> </DIV> <DIV id="page_205"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p266 ft8"><SPAN class="ft12">–</SPAN><SPAN class="ft55">Agerande: Den informationssäkerhet som byggs upp ska stödjas av möjligheter till ingripande vid hot, incidenter, angrepp eller </SPAN><NOBR>IT-relaterad</NOBR> brottslighet.</P> <P class="p11 ft10">InfoSäkutredningen föreslog en strategi som innefattade att:</P> <P class="p187 ft10">11.utveckla Sveriges position inom EU och i internationella sam- manhang</P> <P class="p94 ft10">12.skapa förtroende, trygghet, säkerhet, och öka integritetsskyddet</P> <P class="p482 ft10">13.främja ökad användning av IT</P> <P class="p108 ft8">14.förebygga och kunna hantera störningar i informations- och kommunikationssystem</P> <P class="p106 ft8">15.förstärka underrättelse- och säkerhetstjänstens arbete samt utveckla delgivningen</P> <P class="p483 ft10">16.förstärka förmågan inom området nationell säkerhet</P> <P class="p482 ft10">17.utnyttja samhällets samlade kapacitet</P> <P class="p482 ft10">18.fokusera på samhällsviktig verksamhet</P> <P class="p108 ft8">19.öka medvetenheten om säkerhetsrisker och möjligheter till skydd</P> <P class="p482 ft10">20.säkerställa kompetensförsörjningen</P> <P class="p91 ft8">I dåvarande Krisberedskapsmyndighetens regleringsbrev för bud- getåret 2007 gav regeringen myndigheten i uppdrag att ta fram en nationell handlingsplan för samhällets informationssäkerhet (Fö2009/2566/SSK). Handlingsplanen redovisades till regeringen i april 2008. Enligt handlingsplanens tredje åtgärdsförslag skulle den nationella strategin som hade redovisats av InfoSäkutredningens delbetänkande uppdateras.</P> <P class="p15 ft14"><SPAN class="ft9">I regeringens skrivelse </SPAN>Samhällets krisberedskap – stärkt samver- kan för ökad säkerhet <SPAN class="ft9">(skr. 2009/10:124 s. 65 ff.) behandlades in- formationssäkerhet särskilt och sex olika områden togs upp nämli- gen en nationell strategi för samhällets informationssäkerhet, sam- hällets samlade förmåga att förebygga och hantera </SPAN><NOBR><SPAN class="ft9">it-incidenter,</SPAN></NOBR><SPAN class="ft9"> it- incidentrapportering och </SPAN><NOBR><SPAN class="ft9">it-säkerhetsanalyser,</SPAN></NOBR><SPAN class="ft9"> rapportering avse- ende hot, sårbarheter och risker samt internationell samverkan kring informationssäkerhet. När det gällde den första punkten om</SPAN></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">205</P> </DIV> </DIV> <DIV id="page_206"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p462 ft8">en nationell strategi angavs att det behövdes en tydlig strategi med bred förankring i samhället för att kunna bedriva ett strategiskt och sammanhållet informationssäkerhetsarbete på nationell nivå i Sve- rige. Regeringen tillade följande.</P> <P class="p484 ft85">Strategin bör ange långsiktiga målsättningar och arbetssätt för inform- ationssäkerhet i Sverige och omfatta informationssäkerhet i verksam- heter, kompetensförsörjning, informationsdelning, samverkan och respons, kommunikationssäkerhet, samt säkerhet i produkter och system där nyckelorden är helhetssyn, ansvar och samverkan. Strategin bör omfatta hela samhället, dvs. alla statliga myndigheter, kommuner, landsting, företag, organisationer och privatpersoner. Målen för sam- hällets informationssäkerhet, som förväntas uppnås genom strategin, är följande:</P> <P class="p485 ft12"><SPAN class="ft12">-</SPAN><SPAN class="ft97">Säkra samhällets funktionalitet, effektivitet och kvalitet.</SPAN></P> <P class="p486 ft85"><SPAN class="ft85">-</SPAN><SPAN class="ft98">Bidra till samhällets brottsbekämpning.</SPAN></P> <P class="p487 ft65"><SPAN class="ft65">-</SPAN><SPAN class="ft99">Stärka samhällets förmåga att förebygga och hantera allvarliga stör- ningar och kriser.</SPAN></P> <P class="p486 ft85"><SPAN class="ft85">-</SPAN><SPAN class="ft98">Främja näringslivets tillväxt.</SPAN></P> <P class="p486 ft65"><SPAN class="ft65">-</SPAN><SPAN class="ft99">Värna medborgares fri- och rättigheter och personliga integritet.</SPAN></P> <P class="p487 ft12"><SPAN class="ft12">-</SPAN><SPAN class="ft97">Öka medborgares och verksamheters kunskap om och förtroende för informationshantering och </SPAN><NOBR>IT-system.</NOBR></P> <P class="p293 ft8">Utredningen menar att den av regeringen tidigare redovisade stra- tegin (prop. 2001/02:158) liksom den i betänkandet SOU 2005:42 föreslagna i grunden var riktiga. Utredningen anser dock att de båda har sökt åtgärda samtliga problem och utmaningar i hela sam- hället i ett sammanhang, något som ställer genomföranden inför överväldigande utmaningar.</P> <P class="p243 ft16"><SPAN class="ft16">9.1.3</SPAN><SPAN class="ft63">Behovet av en strategi</SPAN></P> <P class="p142 ft9">I utredningens uppdrag ingår att föreslå en strategi för hantering och överföring av information i elektroniska kommunikationsnät och <NOBR>it-system,</NOBR> en nationell strategi som utredningen bedömer bör antas av regeringen. Det finns anledning att från utredningens sida betona att behoven på informations- och cybersäkerhetsområdet är så omfattande i Sverige, att det ter sig mest förnuftigt att redan från början acceptera att Sverige inte behöver en, utan flera strategier. Tidigare utredningar på området har i full enlighet med sina uppdrag sökt föreslå allomfattande strategier för hela samhället, vilket har fördelen att inte utelämna någon del av samhället; nack-</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">206</P> </DIV> </DIV> <DIV id="page_207"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p283 ft9">delen är att de inte beaktar de svårigheter och utmaningar som kan föreligga med att inom ett begränsat område av samhället åstad- komma normering och styrning utan kännedom om ekonomiska och andra förutsättningar som kan föreligga. Vad som föreslås nedan är endast det första steget, en första strategi som endast söker åtgärda de mest angelägna bristerna i statsförvaltningen. Den här föreslagna strategin träffar statsförvaltningen på bredden och höjer, om den genomförs, den generella informations- och cyber- säkerheten i statsförvaltningen, till gagn för samhällets resurser för att förebygga och bekämpa de yttersta hoten mot rikets säkerhet, vilka följaktligen mer odelat kan inriktas mot dessa hot.</P> <P class="p14 ft8">Utredningen anser i stället att staten, för att kunna bli en effek- tiv och trovärdig ledande och kravställande kraft i samhället, måste ägna sin kraft åt att skapa säkerhet inom den statliga sfären. Den strategi som här föreslås ägnas därför uteslutande åt att åstad- komma det. Först därefter är staten i en position där den kan enga- gera hela samhället.</P> <P class="p14 ft8">En höjd informations- och cybersäkerhet måste bygga på att regeringen i en första strategi lyckas skapa en grundstruktur för att sedan kunna fånga in frågeställningar som kan omfattas av flertalet aktörer och intressenter.</P> <P class="p58 ft8">Mot bakgrund av detta resonemang föreslår utredningen en strategi som uppställer sex mål för staten under regeringens led- ning:</P> <P class="p106 ft8"><SPAN class="ft12">1.</SPAN><SPAN class="ft83">Staten förstärker styrning och tillsyn av informationssäkerheten i staten.</SPAN></P> <P class="p40 ft10"><SPAN class="ft12">2.</SPAN><SPAN class="ft79">Staten blir en tydlig kravställare.</SPAN></P> <P class="p45 ft10"><SPAN class="ft12">3.</SPAN><SPAN class="ft79">Staten kommunicerar säkert.</SPAN></P> <P class="p45 ft10"><SPAN class="ft12">4.</SPAN><SPAN class="ft79">De statliga myndigheterna ska rapportera </SPAN><NOBR>it-incidenter.</NOBR></P> <P class="p187 ft8"><SPAN class="ft3">5.</SPAN><SPAN class="ft77">Statens förebyggande och bekämpande av </SPAN><NOBR>it-relaterad</NOBR> brottslighet stärks.</P> <P class="p106 ft8"><SPAN class="ft12">6.</SPAN><SPAN class="ft83">Sverige ska vara och uppfattas som en stark internationell partner.</SPAN></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">207</P> </DIV> </DIV> <DIV id="page_208"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p339 ft16"><SPAN class="ft16">9.1.4</SPAN><SPAN class="ft63">Strategins innehåll</SPAN></P> <P class="p102 ft8">Enligt utredningen bör en strategi för statens informations- och cybersäkerhet ha ett medellångt perspektiv som kan ligga till grund för åtgärder på två till tre års sikt. Strategin vänder sig först och främst till regeringen, Regeringskansliet och till de statliga myn- digheterna. Indirekt kan strategin även påverka den del av närings- livet och de organisationer som samverkar eller ingår affärsrelat- ioner med staten. I det följande redovisar utredningen några ut- gångspunkter som bör kunna ligga till grund för det fortsatta arbetet.</P> <P class="p103 ft9">Strategin inriktas för att kunna ligga till grund för politiska beslut och prioriteringar inom informationssäkerhetsområdet, och förbättra samordningen av samhällets informationssäkerhetsarbete. Om den genomförs bidrar strategin till att reducera sårbarheten och uppnå en effektiv risknivå i statens olika informationssystem och till trygg elektronisk kommunikation i offentlig sektor, samt säkrar pålitliga nättjänster från offentlig sektor.</P> <P class="p110 ft10">Strategin innehåller sex målsättningar, till vilka de olika försla- gen i kapitlets senare delar bidrar.</P> <P class="p225 ft9"><SPAN class="ft14">Det första målet </SPAN>är förstärkt styrning och tillsyn av inform- ationssäkerheten i staten. Bland åtgärderna finns krav för alla myn- digheter att driva ett ledningssystem för informationssäkerhet, vilket måste uppfylla internationellt erkända säkerhetsstandarder. Arbetet med informationssäkerhet professionaliseras och tillsynen över de statliga myndigheterna stärks.</P> <P class="p72 ft8"><SPAN class="ft35">Det andra målet </SPAN>är att staten blir en tydlig kravställare som upp- handlare av tjänster som innehåller informationshantering eller av <NOBR>it-tjänster.</NOBR> Statliga myndigheter ska arbeta mer systematiskt med att ställa konkreta <NOBR>it-säkerhetsmässiga</NOBR> krav i anslutning till upphandling och avtal på <NOBR>it-området.</NOBR> Dessutom ska det ske löpande uppföljning på den säkerhetsmässiga leverantörstyrningen i staten. Dialogen mellan privata och offentliga aktörer samt relevanta utbildnings- och forskningsinstitutioner på området fördjupas.</P> <P class="p104 ft38"><SPAN class="ft89">Det tredje målet </SPAN>är tillgång till säker kommunikation i staten. Information som kommuniceras i staten är skyddsvärd och vital för att statsförvaltningen ska kunna fungera. I orostider ökar detta skyddsbehov, varför lägstanivån måste säkerställas dessförinnan.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">208</P> </DIV> </DIV> <DIV id="page_209"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p260 ft13">Informationen omfattas bl.a. av tryckfrihetsförordningen, offent- lighets- och sekretesslagen (2009:400) och arkivlagen (1990:782) varför medborgarna har rätt att förvänta sig att staten har full kon- troll över informationens säkerhet och inte sparat någon möda för att omsätta statens skyldigheter i praktisk handling.</P> <P class="p148 ft8"><SPAN class="ft35">Det fjärde målet </SPAN>är att alla statliga myndigheter ska rapportera it- incidenter för att skapa kunskap och lägesbeskrivningar. I målet ingår också att konkretisera samordningsansvaret för att hantera allvarliga <NOBR>it-incidenter.</NOBR> Detta kan ses som ett delmål till det tredje målet, men är dessutom ett av kraven som EU kommer att ställa på samtliga medlemsstater.</P> <P class="p229 ft8"><SPAN class="ft35">Det femte målet </SPAN>är att stärka förebyggande och bekämpande av <NOBR>it-relaterad</NOBR> brottslighet. Denna verksamhet ställer särskilda krav på ansvariga myndigheter för att upprätthålla samma nivå av skydd för individer som i samhället i stort. De verktyg som ställs till ansvariga myndigheters förfogande måste hålla jämna steg med den tekniska utvecklingen och balanseras mot skyddet av den enskildes integritet.</P> <P class="p430 ft8"><SPAN class="ft35">Det sjätte målet </SPAN>är att Sverige ska vara och uppfattas som en stark internationell partner. I detta mål ingår att regeringen stärker och samordnar insatserna för att främja Sveriges ställning i internationellt samarbete om cybersäkerhet.</P> <P class="p153 ft8">Senare strategier bör omfatta bl.a. kompetensförsörjningen av- seende informationssäkerhet i samhället i stort, nationell forskning och utveckling om informations- och cybersäkerhet, informations- säkerhet inom verksamheter hos landsting och kommuner, liksom försvaret av riket och dess oberoende mot antagonistiska hot med såväl defensiva som offensiva förmågor.</P> <P class="p229 ft8">De åtgärder som utredningsdirektivens andra delar har lett ut- redningen att föreslå kan, på sätt som visas i bilaga 5, hänföras till de olika strategiska målen.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">209</P> </DIV> </DIV> <DIV id="page_210"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323210x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p339 ft16"><SPAN class="ft16">9.1.5</SPAN><SPAN class="ft63">Strategigenomförande och handlingsplan</SPAN></P> <P class="p488 ft16">Förslag:</P> <P class="p489 ft10"><SPAN class="ft12">1.</SPAN><SPAN class="ft100">Inrättandet av en genomförandekommitté övervägs.</SPAN></P> <P class="p490 ft8"><SPAN class="ft12">2.</SPAN><SPAN class="ft94">MSB ges i uppdrag att i samverkan med ett nybildat myndighetsråd ta fram en ny handlingsplan.</SPAN></P> <P class="p491 ft13">Flera tidigare utredningars resultat (se exempelvis SOU 2005:42) har endast i begränsad omfattning kommit att genomföras. Då ingen studie har gjorts över skälen till att förslagen inte kommit att realiseras ligger det nära till hands att anta att det hänger samman med dels kostnaderna för vissa av de föreslagna åtgärderna, dels den omfattande krets av myndigheter med olika intressen och roller som är involverade, tillsammans med de departement som ansvarar för styrningen och dess myndigheter. Med förstärkningen av säkerhetsfrågornas hantering inom regeringen som statsministerns inrättande av ett säkerhetspolitiskt råd innebär och den kraftsam- ling som mandatet för inrikesministern möjliggör, föreligger i dag bättre förutsättningar än tidigare att förmå den centrala statsför- valtningen att agera samfällt.</P> <P class="p208 ft9">Vissa av strategins åtgärder kommer att behöva tas omhand av lagstiftningsansvariga inom Regeringskansliet, medan andra åtgärder främst kommer att beröra ansvariga för myndighetsstyrning. Rege- ringen kan här överväga om man vill hantera de olika strategiska åtgärderna enligt gängse beredning av regeringsärenden, vilket med ansvarsfördelningen efter regeringsbildningen 2014 torde innebära att inrikesministern ”äger” strategin, eller om man vill låta en för ända- målet inrättad genomförandekommitté (se exempelvis den s.k. polis- samordningen, dir. 2012:129) genomföra de i strategin ingående åtgärderna.</P> <P class="p226 ft13">Koncentrationen av ansvar och myndighetsresurser under in- rikesministern skapar goda förutsättningar för att effektivt styra verksamheten under regeringens politik för informations- och cybersäkerhet. Att det i avsaknad av ett definierat politik- och ut- giftsområde finns relaterade och i viss mån tangerande ansvars- områden ställer stora krav på samordning inom Regeringskansliet. I ljuset av Riksrevisionens påpekanden och av erfarenheterna från tidigare försök att genomföra strategiska kursändringar från rege- ringens sida, finns det anledning att noggrant övervaka att de en-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">210</P> </DIV> </DIV> <DIV id="page_211"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323211x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p283 ft8">skilda åtgärdernas beredning sker i full enlighet med den politiska viljan som ligger i inrikesministerns mandat och att denna bered- ning vid behov också stöttas proaktivt från politisk nivå.</P> <P class="p15 ft13">Även om flera åtgärder som föreslås nedan är regeringsfrågor kommer de att behöva genomföras av myndigheter. Det är därför lämpligt att de ansvariga myndigheterna inom det föreslagna myn- dighetsrådet under MSB:s ledning utarbetar en handlingsplan för de åtgärder som krävs som följd av förslagen i betänkandet, på lik- nande sätt som skett under <NOBR>SAMFI-strategin.</NOBR> Då behovet av poli- tisk vägledning även framgent kan förväntas vara stort bör rege- ringen överväga att med jämna mellanrum följa upp arbetet i myn- dighetsrådet och vid behov kalla rådet till sig för uppföljning; med hänsyn till rådets uppgifter föreligger inga hinder enligt 12 kap. 2 § regeringsformen för ett nära samarbete mellan regering och råd.</P> <P class="p243 ft33"><SPAN class="ft33">9.2</SPAN><SPAN class="ft48">Ansvar, styrning, samordning och tillsyn</SPAN></P> <P class="p278 ft16"><SPAN class="ft16">9.2.1</SPAN><SPAN class="ft63">En nationell styrmodell</SPAN></P> <P class="p492 ft10"><SPAN class="ft16">Bedömning</SPAN>: En nationell styrmodell för informationssäkerhet i samhället bör etableras.</P> <P class="p493 ft16">Förändrade förutsättningar för informationssäkerhetsarbete</P> <P class="p132 ft8">Förändringarna i informationshantering innebär att informations- säkerhetsarbete måste utföras på ett förändrat sätt jämfört med tidigare. Information hanteras inte enbart inom en enskild myn- dighet eller organisation utan även mellan sådana, exempelvis genom direktåtkomst till olika databaser. Konsekvensen av detta är att informationssäkerhetsarbete för att fungera måste bedrivas i former som är myndighetsöverskridande. För att detta ska kunna genomföras krävs en långsiktig och uthållig nationell styrning, stödd av en kontinuerligt utvecklad kompetens. I detta samman- hang är det viktigt att notera att styrning kan ske i olika former och bör avpassas efter de aktuella förutsättningarna.</P> <P class="p58 ft8">Övergripande kan sägas att den offentliga informationshante- ringen tidigare skett i en renodla offentlig styrning, dvs. en situ- ation där offentligt finansierad verksamhet utförts av i huvudsak</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">211</P> </DIV> </DIV> <DIV id="page_212"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p345 ft8">offentliga aktörer. Nu utförs en allt större andel av den offentligt finansierade verksamheten av privata aktörer. Därmed är det nöd- vändigt att lagstiftning och föreskrifter kompletteras med olika former av avtal för att styrningen ska kunna nå samtliga aktörer som deltar i den gemensamma informationshanteringen. Det inne- bär att det offentliga på ett helt annat sätt än tidigare måste lägga mycket mer tid på att vara en kvalificerad beställare.</P> <P class="p223 ft8">En alltmer nationellt integrerad informationshantering ställer krav på en sammanhållen nationell styrning och kontroll av in- formationssäkerheten i all den informationshantering som det offentliga ansvarar för. För att detta ska fungera bör det systema- tiska informationssäkerhetsarbete som bedrivs i statliga myndig- heter sammanfogas i en nationell struktur.</P> <P class="p232 ft13">Det är inte längre möjligt att göra enskilda bilaterala överens- kommelser inom en och samma sektor kring säkerhetsåtgärder när hundratals aktörer, eller i vissa fall tusentals som inom hälso- och sjukvård, är involverade i samma system för informationshantering. Den fragmentiserade kravställningen utgör en stor utmaning för de privata organisationer som ska leverera de olika tjänsterna till det offentliga. Att ta fram ett stort antal unika men snarlikna lösningar är inte rationellt vare sig för kund eller för leverantör.</P> <P class="p276 ft13">Inom <NOBR>e-förvaltning</NOBR> och <NOBR>e-hälsa</NOBR> samverkar ett stort antal aktörer, offentliga såväl som privata, med mycket olika förutsättningar. Ett exempel är när en liten kommun som har begränsade ekonomiska resurser och små möjligheter att tillförsäkra sig informationssäker- hetskompetens delar information med bland annat landets största landsting. Det innebär att den lilla kommunen kan äventyra säker- heten i hela den gemensamma infrastrukturen om inte gemen- samma regler finns och kommunen inte har resurser att genomföra de säkerhetsåtgärder som regelverket kräver. På detta sätt kan även de investeringar som andra aktörer gör i sin och den gemensamma säkerheten blir underminerade. Detta förhållande gäller inom ett stort antal samhällsområden. Det är därför viktigt att börja skapa en utveckling där säkerheten stärks både hos den enskilda organi- sationen och i den gemensamma infrastrukturen.</P> <P class="p276 ft13">Under de senaste åren har staten gjort ett antal satsningar på nationell informationshantering både i form av tjänster som Mina meddelanden, en svensk <NOBR>e-legitimation</NOBR> och i organisatoriska for- mer som i Statens servicecenter (SSC) och <NOBR>E-hälsomyndigheten.</NOBR></P> </DIV> <DIV id="id_2"> <P class="p4 ft20">212</P> </DIV> </DIV> <DIV id="page_213"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p145 ft8">Det har även bedrivits ett aktivt arbete från <NOBR>E-delegationen</NOBR> och inom vårdområdet för att främja utvecklingen mot ett <NOBR>e-samhälle.</NOBR> I dessa satsningar finns en stor potentiell möjlighet att höja den nationella informationssäkerhetsnivån inom viktiga områden. Myndigheter har också i olika utsträckning ålagts att överföra sin informationshantering till Statens servicecenter och att använda de nationella tjänsterna.</P> <P class="p494 ft39">En nationell styrmodell för systematiskt informationssäkerhetsarbete</P> <P class="p495 ft13">Förändringarna i myndigheternas informationshantering har skett under förhållandevis kort tid. Till det kommer att tiden för själva genomförandet av respektive åtgärd har varit kort. Koncentration av informationshantering på nationell nivå sammantaget med otyd- ligheter i ansvarsförhållanden och i vilka krav och förväntningar på informationssäkerheten som ska gälla, gör att ett samlat grepp behöver tas för att se till att ansvar för informationssäkerheten klargörs och säkerställs på ett betryggande sätt.</P> <P class="p204 ft13">Det behövs således enligt utredningens bedömning en nationell satsning på systematiskt informationssäkerhetsarbete i statlig verk- samhet. Utredningen föreslår därför att ett gemensamt ramverk, en nationell styrmodell, för statens informationssäkerhetsarbete eta- bleras. Genom denna ska ett för de statliga myndigheterna gemen- samt förhållningssätt till informationssäkerhetsfrågor säkerställas. Styrmodellen blir en gemensam bas för statligt informationssäker- hetsarbete. Utredningens förslag avser i första hand de statliga myndigheterna och ska vara normerande för dessa men styr- modellen kan på sikt utsträckas till att omfatta hela den offentliga sektorn.</P> <P class="p148 ft9">En gemensam styrmodell syftar till att myndigheters informat- ionssäkerhetsarbete ska utföras på ett ensat sätt. Därigenom tas ett samlat grepp om informationssäkerheten i det offentliga. Syftet är att skapa en gemensam syn på en lägsta nivå av informationssäker- het i staten och samtidigt höja denna från dagens situation.</P> <P class="p204 ft9">Det ska alltså skapas en samlad modell innefattande bl.a. gemen- samma metoder för riskanalys, riskhantering, informationsklass- ning och kontinuitetshantering, definierade skyddsnivåer med till- hörande skyddsåtgärder och gemensamma kravbilder, stöd för</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">213</P> </DIV> </DIV> <DIV id="page_214"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p345 ft9">informationsklassning och säkerhetsnivåer, terminologi för in- formationssäkerhetsarbete och regelverk. Styrmodellen ska baseras på existerande krav i författningar och verksamheternas behov.</P> <P class="p200 ft8">Genom etablering av en sådan styrmodell möjliggörs att inform- ation kan överföras mellan myndigheter med samma skydd, eftersom en ensad modell för informationsklassning inklusive skyddsnivåer skapas.</P> <P class="p200 ft8">Av särskild betydelse att generellt besluta om är ansvarsförhål- landen i informationshanteringen och därmed för olika delar av informationssäkerhetsarbetet.</P> <P class="p238 ft13">Ytterst handlar kraven om hur lösningar för drift och kommu- nikation ska utformas och detta kommer att i hög grad påverka privata leverantörer av denna typ av tjänster. För att leverantörerna ska kunna få en tillräckligt god förutsägbarhet och därmed kunna utveckla standardiserade och prisvärda lösningar är gemensamma regelverk också ett mycket gott stöd. Den statliga sektorn skulle på så sätt också utveckla sin beställarkompetens och som följd skulle utvecklingen av den nationella säkerhetsarkitekturen styras av verksamhetskrav i stället för att, som ofta nu är fallet, vara händel- sestyrd och teknikdriven.</P> <P class="p231 ft8">En nationell satsning på systematisk informationssäkerhet skulle innebära att de beskrivna förhållandena kan hanteras på ett över tiden sammanhållet och proaktivt sätt. En viktig del i detta är att skapa sektorsspecifika strukturer för informationssäkerhet uti- från en generisk nationell styrmodell.</P> <P class="p238 ft9">Genom en nationell styrmodell för systematiskt informations- säkerhetsarbete skulle ett effektivt stöd för de aktörer som ingår i den integrerade informationsinfrastrukturen skapas. Styrmodellen skulle också verka sammanbindande eftersom såväl andra offentliga som privata organisationer på sikt skulle kunna ansluta sig till den.</P> <P class="p385 ft8">Att ett sådant gemensamt ramverk tas fram på nationell nivå måste också vara det mest ekonomiskt försvarbara sättet att bedriva systematiskt informationssäkerhetsarbete i staten med hänsyn till att metodarbetet då inte behöver utföras hos varje enskild myndighet även om varje myndighet måste göra sin egen riskbedömning, kartlägga sina egna skyddsvärda tillgångar och bestämma över sitt eget behov av skyddsnivå.</P> <P class="p231 ft10">Samverkan, långsiktighet och uthållighet är nödvändiga förut- sättningar för att en nationell styrmodell för systematisk inform-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">214</P> </DIV> </DIV> <DIV id="page_215"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323215x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p163 ft8">ationssäkerhet ska fylla den funktion som är önskvärd. Genom en styrmodell skapas en långsiktighet och tydlighet i samhällets arbete med informationssäkerhet.</P> <P class="p15 ft13">En styrmodell skapar också en indirekt styrning mot det privata näringslivet då staten, jämte landstingen och kommunerna, är de största beställarna av privata tjänster. Det blir på detta sätt tydligt vilka regler och ramar som gäller vid leverans av olika tekniska lös- ningar vilket med hänsyn till förutsägbarheten kommer att inne- bära ekonomiska fördelar för privata aktörer.</P> <P class="p69 ft16">MSB ges i uppdrag att utveckla styrmodellen</P> <P class="p132 ft8">Enligt utredningen är MSB den myndighet som bör får i uppdrag att utveckla, förvalta och vidareutveckla styrmodellen. MSB bör utveckla denna med stöd från övriga myndigheter i det av utred- ningen föreslagna Myndighetsrådet för informationssäkerhet, se följande avsnitt. Med sitt regeringsuppdrag att stödja samhällets arbete med informationssäkerhet ska MSB alltså även få ett utvidgat uppdrag att efter samverkan i myndighetsrådet och i sam- verkan med andra myndigheter utveckla, förvalta och vidareut- veckla en styrmodell för statens informationssäkerhet. Myndig- heter som ingår i myndighetsrådet bör ges i uppdrag att stödja för- valtningen och utvecklingen av styrmodellen.</P> <P class="p243 ft16"><SPAN class="ft16">9.2.2</SPAN><SPAN class="ft63">Inrättande av ett myndighetsråd</SPAN></P> <P class="p496 ft8"><SPAN class="ft50">Förslag: </SPAN>Regeringen inrättar ett statligt myndighetsråd för in- formationssäkerhet bestående av företrädare för de relevanta myndigheterna på området.</P> <P class="p497 ft16">Samordning på informationssäkerhetsområdet i dag</P> <P class="p256 ft38">I gruppen SAMFI samverkar i dag myndigheter med särskilda upp- gifter och särskilt ansvar inom området informationssäkerhet (se avsnitt 7.6.1). MSB har en uttalad samordningsroll när det gäller samhällets informationssäkerhet och myndigheten har ett samord- nande ansvar i SAMFI. Utöver detta har MSB för att utnyttja sam-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">215</P> </DIV> </DIV> <DIV id="page_216"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p462 ft8">hällets samlade kompetens i övrigt knutit till sig ett informations- säkerhetsråd med bred representation från både offentlig förvalt- ning och näringslivet (se avsnitt 7.7.1).</P> <P class="p284 ft8">SAMFI träffas sex gånger per år och syftet är att underlätta sam- arbetet genom informationsutbyte och samverkan. De myndig- heter som medverkar är följande.</P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Myndigheten för samhällsskydd och beredskap (MSB)</SPAN></P> <P class="p415 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Post- och telestyrelsen (PTS)</SPAN></P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Försvarets radioanstalt (FRA)</SPAN></P> <P class="p169 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Säkerhetspolisen (Säpo) och Nationella operativa avdelningen (NOA, tidigare Rikskriminalpolisen) i samverkan</SPAN></P> <P class="p354 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Försvarets materielverk (FMV)/Sveriges Certifieringsorgan för </SPAN><NOBR>IT-säkerhet</NOBR> (CSEC)</P> <P class="p169 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Försvarsmakten (FM)/Militära underrättelse- och säkerhets- tjänsten (MUST)</SPAN></P> <P class="p131 ft16">Samordningens betydelse</P> <P class="p142 ft8">Det finns ett stort behov av ledning på informationssäkerhetsom- rådet och det gäller såväl samordning av myndigheter som styrning av informationssäkerhetsarbetet.</P> <P class="p153 ft13">De allvarliga brister i informationssäkerheten i den civila stats- förvaltningen som påtalats såväl i Riksrevisionens granskning RiR 2014:23 <SPAN class="ft34">Informationssäkerheten i den civila statsförvaltningen </SPAN>som i MSB:s kartläggning <SPAN class="ft34">En bild av myndigheternas informations- säkerhetsarbete 2014 </SPAN>av hur statliga myndigheter tillämpar MSB:s föreskrifter och i övrigt arbetar med informationssäkerhet gör att det är angeläget att åtgärder vidtas för att stärka säkerheten. För att stärka informationssäkerheten är samordning av statliga myndig- heters arbete av central betydelse.</P> <P class="p285 ft8">Regeringen har i sin skrivelse <SPAN class="ft35">Samhällets krisberedskap – stärkt samverkan för ökad säkerhet </SPAN>(Skr. 2009/10:124) betonat betydelsen av SAMFI:s arbete: ”SAMFI (…) har en särskilt viktig roll då den syftar till att åstadkomma samverkan mellan de statliga myn- digheter som har särskilda uppgifter på informationssäkerhets- området.”</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">216</P> </DIV> </DIV> <DIV id="page_217"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p209 ft13">Grunden för samhällets krisberedskap är ansvarsprincipen (pro- positionen <SPAN class="ft34">Stärkt krisberedskap – för säkerhets skull</SPAN>, prop. 2007/08:92, bet. 2007/08:FöU12, rskr. <NOBR>2007/08:193-194).</NOBR> Det innebär att den som har ansvar för en verksamhet under normala förhållanden också har det under allvarliga händelser, kriser eller krig. I ansvarsprincipen ingår även att initiera och bedriva sektors- övergripande samverkan. Det finns flera statliga myndigheter med särskilda uppgifter eller uppdrag på informationssäkerhetsområdet, såväl nationellt som internationellt, och frågorna spänner över en mängd olika områden och nivåer. I ansvarsprincipen ingår att sam- verka och samordna sig med andra aktörer i den omfattning som krävs för att effektivt förebygga och hantera en allvarlig händelse. I utredningens direktiv anges särskilt att de statliga myndigheterna bör utveckla sin förmåga att samverka inom informationssäker- hetsområdet.</P> <P class="p69 ft16">Fördjupad samordning</P> <P class="p256 ft13">Samordning av ansvariga myndigheter är alltså en central fråga för arbetet med statens informationssäkerhet. Den samverkan mellan myndigheter som i dag sker inom ramen för SAMFI är enligt ut- redningens mening mycket betydelsefull. Dagens komplexa och snabba utveckling av informationsteknik och <NOBR>it-tjänster</NOBR> och sam- hällets sårbarhet gör att det är nödvändigt att ytterligare fördjupa samordningen mellan myndigheterna. Med hänsyn till denna ut- veckling och påtalade brister är behovet av att stärka informations- säkerheten stort. Det är därför av vikt att insatser görs för att stärka säkerheten inom området för att Sverige ska kunna upprätt- hålla säkerhet, robusthet och integritet i samhällsviktig <NOBR>it-infra-</NOBR> struktur. Detta kan bl.a. ske genom en utveckling och fördjupning av det arbete som i dag sker inom ramen för SAMFI.</P> <P class="p131 ft16">Ett myndighetsråd inrättas</P> <P class="p256 ft37">I syfte att ytterligare formalisera, utveckla och fördjupa samord- ningen av arbetet även i de delar av statens informationssäkerhet som inte främst gäller krisberedskap bör regeringen inrätta ett myndighetsråd för informationssäkerhet. Rådet ska främst bestå av</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">217</P> </DIV> </DIV> <DIV id="page_218"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p345 ft13">företrädare för relevanta statliga myndigheter på området. Genom inrättandet av rådet ges förutsättningar för en bättre systematisk analys av hot och risker och uppfattning om genomförda säkerhetsåtgärder. Genom att etablera rådet skapas också bättre förutsättning för det bredare informationssäkerhetsarbetet. Försla- get ger MSB och deltagande myndigheter förbättrade möjligheter att uppfylla arbetet med en gemensam lägesbild och därigenom ett bättre stöd till samhället.</P> <P class="p200 ft8">Ett annat samordningsorgan, Samverkansrådet mot terrorism, kan nämnas. Detta samverkansråd består av fjorton myndigheter. Nätverket har visserligen inget formellt uppdrag men ett uttalat stöd från regeringen.</P> <P class="p238 ft8">Med hänsyn till MSB:s samordnande roll inom området för in- formationssäkerhet bör myndigheten leda myndighetsrådet samt sköta administrationen. Myndighetsrådet bör också kunna sam- mankallas under Regeringskansliets ledning för diskussioner av policykaraktär (jfr konstruktionen i Rådet för rättsväsendets in- formationsförsörjning). Även de övriga myndigheter med särskilda uppgifter och särskilt ansvar inom området informationssäkerhet som i nuläget samverkar i SAMFI bör ingå i rådet. Utöver nämnda myndigheter kan även andra myndigheter och aktörer som inte direkt omfattas av regeringens uppdrag ges en viktig roll. Exempel- vis kan sektorsmyndigheter bjudas in för samverkan i rådet. Rådet skulle också efter utvärdering kunna överta flera av de funktioner som i dag handhas av <NOBR>SAMFI-gruppen.</NOBR> Vidare föreslås att det i en förordning för statliga myndigheters informationssäkerhet (se avsnitt 9.2.3) föreskrivs att arbetsgrupper kan inrättas. På detta sätt skapas en flexibilitet som över tiden kan adressera den dynamiska <NOBR>it-utvecklingen</NOBR> och de utmaningar som <NOBR>e-samhället</NOBR> efterhand ställs inför.</P> <P class="p231 ft8">Att inrätta ett råd för informationssäkerhet ligger i linje med de synpunkter och rekommendationer som Riksrevisonen lämnat i sin rapport (RIR 2014:23).</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">218</P> </DIV> </DIV> <DIV id="page_219"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p105 ft16">Myndighetsrådets uppgifter</P> <P class="p210 ft13">Myndighetsrådet för informationssäkerhet ska ha som uppgift att förebygga, följa och åtgärda brister i statens informationssäkerhet. Ett särskilt inrättat myndighetsråd medför en kontinuitet och tyd- lighet i det samordnade arbetet jämfört med SAMFI som baseras på frivillighet. Inrättandet av ett myndighetsråd innebär således en förstärkning av insatserna för säkerheten på området. För att när- mare tydliggöra myndighetsrådets uppgifter bör dessa slås fast på förordningsnivå.</P> <P class="p15 ft13">Myndighetsrådet ska agera inom SAMFI:s nuvarande aktivitets- områden (se avsnitt 7.6.1) samt inom de områden som kan följa av den nya förordningen för statliga myndigheters informations- säkerhet (se avsnitt 9.2.3). Arbetet ska ske genom samråd och samverkan och grundas på informations- och erfarenhetsutbyte mellan myndigheterna och samordning av insatser. Myndighets- rådet föreslås inte ha egen beslutanderätt utan myndigheterna fattar beslut inom respektive ansvarsområden efter samråd i rådet. Myndighetsrådet kan fungera som en gemensam remiss- och beredningsinstans i informationssäkerhetsfrågor. Vid framtagande av styrmodellen kan MSB inhämta kommentarer i rådet. Sektors- ansvariga myndigheter som inte ingår i rådet bör kunna ges stöd i rådet inför utfärdande av föreskrifter på informationssäkerhets- området.</P> <P class="p59 ft8">Myndighetsrådet ska, vid sidan av den föreslagna genom- förandekommittén (se avsnitt 9.1.5) säkerställa verkställandet av den nationella informations- och cybersäkerhetsstrategin. Vidare ska myndighetsrådet, baserat på ett system för incidentrapporte- ring, förses med lägesbeskrivningar av hot- och risknivåer i den statliga verksamheten (se vidare avsnitt 9.5).</P> <P class="p15 ft13">En uppgift för myndighetsrådet ska vara att förvalta och ut- veckla tillämpliga krav på standarder och certifiering för produkter och tjänster med bäring på informationssäkerhet i samhällsviktig verksamhet. All anskaffning av produkter som av myndighetsrådet bedöms vara kritiska för säkerställandet av säker kommunikation i staten skulle kunna göras till föremål för en certifieringsprocess där rådet skulle kunna spela en viktig roll (se vidare avsnitt 9.3.1 om säkra <NOBR>it-produkter</NOBR> i staten). För det fall ett behov uppstår av nationella evalueringslaboratorier kan myndighetsrådet få i uppgift</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">219</P> </DIV> </DIV> <DIV id="page_220"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323220x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft10">att vara remissinstans för de regler och krav som utfärdas av det nationella certifieringsorganet CSEC inordnat vid FMV.</P> <P class="p160 ft13">Myndighetsrådet bör med bland annat stöd av den nationella styrmodellen och tillsammans med den nya upphandlingsmyndig- heten ge stöd till myndigheter som har behov av expertkompetens vad gäller it- och informationssäkerhet. Stödet bör ges till myndig- heter som står inför upphandling av informations- och <NOBR>it-lösningar</NOBR> och bör bestå av allmänna rekommendationer om bl.a. <NOBR>it-standar-</NOBR> der och krav på certifiering.</P> <P class="p72 ft8">I uppgifterna för det av regeringen inrättade myndighetsrådet bör ingå att identifiera andra frågor än de ovan nämnda som kan göras till föremål för rådets behandling.</P> <P class="p426 ft10">En utvärdering av rådets verksamhet bör genomföras efter två</P> <P class="p470 ft10">år.</P> <P class="p158 ft16">Kansli</P> <P class="p254 ft8">Som stöd för myndighetsrådet ska ett kansli inrättas med uppgift bl.a. att säkerställa informationsutbytet och samordning av de sam- verkande myndigheterna samt förse rådet med beslutsunderlag. MSB driver i nuläget på frivillig väg SAMFI:s kansli. Myndighets- rådets kansli bör med hänsyn till MSB:s roll vara placerat hos denna myndighet.</P> <P class="p498 ft16"><SPAN class="ft16">9.2.3</SPAN><SPAN class="ft63">En ny förordning för statliga myndigheters informationssäkerhet</SPAN></P> <P class="p499 ft10"><SPAN class="ft16">Förslag: </SPAN>En ny förordning för statliga myndigheters inform- ationssäkerhet införs.</P> <P class="p500 ft9">Utredningen föreslår att en förordning för statliga myndigheters informationssäkerhet införs. I en sådan förordning kan existerande regler på området samlas. Vidare kan också nya regler, bl.a. sådana som föreslås i detta betänkande, införas. På detta sätt regleras tyd- ligare den civila statsförvaltningens arbete med informationssäker- het och en gemensam lägstanivå kan skapas. Existerande regelkrav, främst hämtade från förordningen (2006:942) om krisberedskap</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">220</P> </DIV> </DIV> <DIV id="page_221"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p66 ft8">och höjd beredskap (KBF), förs till förordningen. Placeringen i en ny förordning med generellt tillämpliga regler gör att bestämmel- serna tydliggörs när de placeras i annan kontext än krisberedskap. Härigenom kan också tillämpningen förenklas.</P> <P class="p13 ft8">Skyldigheten i 30 a § KBF för myndigheter att ansvara för att de egna informationshanteringssystemen uppfyller säkerhetskraven bör flyttas till den nya förordningen.</P> <P class="p57 ft10">Utredningen föreslår att följande bestämmelser ska införas.</P> <P class="p131 ft15">Inledande bestämmelser <NOBR>(1–3</NOBR> §§)</P> <P class="p210 ft13">Nya bestämmelser som klargör förordningens bl.a. syfte och innehåll ska införas. 1 § motsvarar i huvudsak 30 a § i KBF. Vidare krävs en reglering som stadgar att bestämmelserna om MSB:s tillsyn och föreskriftmandat samt bestämmelsen om särskilda krav på informationssäkerhetsarbete gäller för statliga myndigheter med undantag av Regeringskansliet, kommittéväsendet och Försvars- makten samt att bestämmelserna tillämpas för utlandsmyndigheterna endast i den utsträckning som bestäms i föreskrifter som meddelas av Regeringskansliet. Avseende föreskriftsmandatet motsvarar skriv- ningen 3 § KBF.</P> <P class="p69 ft15">Definitioner (4 §)</P> <P class="p192 ft9">Definitioner av informationssäkerhet och samhällsviktig verksamhet ska införas i en inledande bestämmelse. Det ska anges att med informationssäkerhet avses förmågan att upprätthålla konfidentialitet, riktighet, tillgänglighet och spårbarhet i sin informationshantering. När det gäller samhällsviktig verksamhet bör den definition av samhällsviktig verksamhet ur ett krisberedskapsperspektiv som används av Myndigheten för samhällsskydd och beredskap användas (se Myndigheten för samhällsskydd och beredskap, Faktablad augusti 2009 Samhällsviktig verksamhet Definition av samhällsviktig verk- samhet ur ett krisberedskapsperspektiv).</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">221</P> </DIV> </DIV> <DIV id="page_222"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p154 ft15">Regler rörande det interna säkerhetsarbetet <NOBR>(5–10</NOBR> §§)</P> <P class="p75 ft8">Paragraferna bygger på och förtydligar 30 a § KBF. Det förslås att en inledande bestämmelse slår fast att statliga myndigheter ska säkerställa att den information de ansvarar för eller hanterar i tjänster som myndigheten levererar till en annan organisation, upprätthåller en tillräcklig nivå av informationssäkerhet, varvid ska anges att detta ska ske genom ett risk- och sårbarhetsbaserat, systematiskt och processinriktat arbetsätt. Vidare ska stadgas att myndigheterna särskilt ska beakta behovet av ledningssystem och etablerade standarder för informationssäkerhet.</P> <P class="p72 ft8">Ledningens ansvar och roller i verksamheten ska slås fast. Det ska stadgas att det i ledningen ska finnas en person med utpekat ansvar för informationssäkerhetsfrågor samt att myndigheten ska peka ut vem som leder och samordnar det praktiska arbetet med informationssäkerhet. Myndigheten ska också enligt denna bestämmelse tydliggöra roller och ansvar för informationssäker- hetsarbetet i myndighetens organisation. Vidare ska anges att myndigheten aktivt ska verka för att en god säkerhetskultur etableras i organisationen och att detta ska ge genom utbildning och övning.</P> <P class="p104 ft9">En ny bestämmelse föreslås som slår fast hur informations- klassning ska genomföras, att inträffade <NOBR>it-incidenter</NOBR> ska kunna identifieras och hanteras och att lämpliga säkerhetsåtgärder ska vidtas. Det ska anges att myndigheter ska kartlägga sina informations- processer och klassificera sin information med utgångspunkt i krav på informationssäkerhet i enlighet med den i 4 § fastslagna definitionen. Vidare ska stadgas att säkerhetsåtgärder ska vidtas beroende på klassning samt identifierade hot, risker och sårbarheter. I detta arbete ska utvecklade krav och skyddsnivåer följas.</P> <P class="p72 ft8">Ett krav ska införas på myndigheter att välja och använda säkra it- produkter vid hantering av information där bristande informations- säkerhet kan medföra en betydande försämring av myndighetens förmåga att bedriva sin verksamhet. Det förslås att <NOBR>it-produkter</NOBR> som finns utpekade i verkställighetsföreskrifter som meddelats med stöd av förordningen ska användas.</P> <P class="p104 ft37">En ny bestämmelse ska införas om uppföljning och dokumentation av informationssäkerhetsarbete samt om kontinuitets- planering. Det ska införas krav på att upprätta en årlig informations-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">222</P> </DIV> </DIV> <DIV id="page_223"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p283 ft9">säkerhetsplan som tydliggör hur arbetet med informationssäkerhet för att uppnå ställda krav ska bedrivas och krav på att med stöd av kontinuitetsplanering upprätthålla en sådan nivå av informations- säkerhet att myndigheten har god förmåga att hantera sina uppgifter i kris och under höjd beredskap. Det ska slås fast att myndigheter ska följa upp sitt informationssäkerhetsarbete, dokumentera bedömningar avseende hot, risker och sårbarheter samt redogöra för arbetet som bedrivs med kartläggning av informationsprocesser, klassificering av information, identifiering och hantering av inträffade <NOBR>it-incidenter,</NOBR> säkerhetsåtgärder samt användning av säkra <NOBR>it-produkter.</NOBR></P> <P class="p13 ft8">Kravet på kontinuitetsplanering förtydligar behovet av att även beakta krisberedskaps- och kontinuitetshanteringsperspektivet i informationssäkerhetsarbetet. Detta följer implicit av det faktum att nuvarande krav på att statliga myndigheter arbetar med informationssäkerhet är placerad i krisberedskapsförordningen. I detta avseende förtydligas alltså 30 a § KBF.</P> <P class="p15 ft13">Vidare ska det införas en bestämmelse som anger att kraven i 5– 9 §§ endast gäller i tillämpliga delar för sådana myndigheter vars informationshantering eller informationssäkerhetsarbete administreras av en annan myndighet. Syftet är att omhänderta de särskilda förutsättningar som informationssäkerhetsarbete hos exempelvis nämndmyndigheter vars hela informationshantering administreras av en annan myndighet skapar. Målsättningen är inte att undanta arbetet den här typen av myndigheter utför åt annan myndighet från kraven, utan i stället nyansera kravbilden så att förordningen blir praktiskt möjlig att tillämpa. I bestämmelsen benämns en myndighet som sköter arbetet åt en annan myndighet</P> <P class="p501 ft8">”värdmyndighet”. Det föreslås att ett krav ställs på en värdmyndighet att informera den anlitande myndigheten om <NOBR>it-incidenter</NOBR> som har eller kan ha påverkat säkerheten för information hos den anlitande myndigheten.</P> <P class="p69 ft15">Särskilda krav på informationssäkerhetsarbete (11 §)</P> <P class="p210 ft37">En bestämmelse föreslås som ger möjlighet att ställa särskilda krav på de myndigheter som anges i KBF att vidta säkerhetsåtgärder, nya bestämmelser om krav på utpekade resurser för informationssäkerhet och kompetenskrav (såsom certifiering eller motsvarande erfarenhet)</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">223</P> </DIV> </DIV> <DIV id="page_224"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p70 ft8">för informationssäkerhetschef eller motsvarande i statliga myndig- heter som omnämns i KBF. Även denna bestämmelse förtydligar innebörden av de särskilda krav på informationssäkerhet som ställs i 30 a § KBF.</P> <P class="p73 ft15">Säkra kryptografiska funktioner <NOBR>(12–14</NOBR> §§)</P> <P class="p502 ft8">Bestämmelserna i <NOBR>31–33</NOBR> §§ KBF om säkra kryptografiska funktioner föreslås flyttas över till den nya förordningen. Dessa regler kan behöva utvecklas senare för att täcka in nya behov, exempelvis avseende civilt försvar.</P> <P class="p63 ft15">Upphandling av <NOBR>it-system</NOBR> och <NOBR>it-produkter</NOBR> <NOBR>(15–16</NOBR> §§)</P> <P class="p340 ft37">I avsnitt 9.3.1 behandlar utredningen frågor om kravställning vid upphandling. I förordningen föreslås nya bestämmelser om säkerhet vid upphandling och hantering av säkerhetsfrågor i samband med anslutning till myndighetsgemensamma tjänster. Syftet är att omhänderta det växande behovet av att säkerställa att säkra it- produkter används så långt möjligt i samhällsviktig verksamhet. Det ska införas en bestämmelse enligt vilken myndigheter i samband med upphandling och utveckling av <NOBR>it-system</NOBR> eller <NOBR>it-produkter</NOBR> i förhållande till leverantören ska klarlägga ansvar och roller för informationssäkerhetsarbetet. Vidare ska stadgas att upphandlingen eller utvecklingen ska föregås av informationsklassning och riskanalys av berörd information. Resultatet av detta ska därefter vara styrande för utformningen av säkerhetskrav som ställs vid upphandling eller utveckling. Det ska förtydligas att de angivna kraven även gäller vid anslutning till myndighetsgemensamma tjänster för <NOBR>e-förvaltning</NOBR> eller liknande. Vidare föreslås krav på att en myndighet endast ska uppdra åt en annan myndighet att hantera myndighetens information om hanteringen kan ske med tillräcklig säkerhet, varvid <NOBR>it-incidenter</NOBR> som påverkat eller kan ha påverkat säkerheten ska rapporteras till myndigheten.</P> <P class="p103 ft8">En ny bestämmelse ska införas enligt vilken – i samband med upphandling av <NOBR>it-produkter</NOBR> som ska användas i samhällsviktig verksamhet som bedrivs av staten – krav ställs på att endast säkra <NOBR>it-produkter</NOBR> ska användas. I de fall säkra <NOBR>it-produkter</NOBR> finns</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">224</P> </DIV> </DIV> <DIV id="page_225"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p66 ft8">utpekade i verkställighetsföreskrifter (se vidare nedan) ska dessa användas. Paragrafen kompletterar bestämmelsen i 8 § förord- ningen där krav ställs på säkra <NOBR>it-produkter</NOBR> i den egna verksam- heten.</P> <P class="p67 ft15"><NOBR>It-incidentrapportering</NOBR> (17 §)</P> <P class="p192 ft13">Utredningen föreslår i avsnitt 9.5 att det inrättas system för obligatorisk incidentrapportering för samtliga statliga myndigheter. I förordningen ska nya bestämmelser om krav på <NOBR>it-incident-</NOBR> rapportering införas. För statliga myndigheter föreslås en rapporteringsskyldighet av <NOBR>it-incidenter</NOBR> till MSB. Detta ska gälla för <NOBR>it-incidenter</NOBR> som allvarligt kan påverka säkerheten i myndig- hetens informationshantering eller tjänster som en myndighet levererar. Det ska anges att rapporteringen ska ske skyndsamt.</P> <P class="p14 ft8">För att klargöra avgränsningen mot den tillsyn som sker enligt säkerhetsskyddförordningen ska stadgas att rapporteringplikten inte gäller för <NOBR>it-incidenter</NOBR> som ska anmälas till en tillsyns- myndighet enligt bestämmelserna i 10 a § säkerhetsskyddsförord- ningen förrän tillsynsmyndigheten har meddelat den rapporterings- pliktiga myndigheten att incidenten inte längre är föremål för behandling hos tillsynsmyndigheten.</P> <P class="p69 ft15">Tillsyn, föreskrifter, Myndighetsrådets uppgifter <NOBR>(18–20</NOBR> §§)</P> <P class="p192 ft9">I avsnitt 9.2.2 har utredningen föreslagit att ett statligt myndighetsråd för informationssäkerhet ska inrättas. En ny bestämmelse om rådets uppgifter ska införas i förordningen. Det ska anges att myndighetsrådet har till uppgift att stödja och utveckla informa- tionssäkerhetsarbetet i samhället, varvid det som exempel bör räknas upp att det i detta ingår att utgöra en gemensam berednings- och remissinstans på informationssäkerhetsområdet, bidra med stöd rörande informationssäkerhetsfrågor vid utfärdandet av föreskrifter på informationssäkerhetsområdet, förvalta och utveckla tillämpliga krav i standarder samt certifiering och ackreditering (kontrollordningar) för produkter och tjänster med bäring på informationssäkerhet i samhällsviktig verksamhet, bistå med expertkompetens i samband</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">225</P> </DIV> </DIV> <DIV id="page_226"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p199 ft10">med upphandling av tjänster och produkter på informations- säkerhetsområdet, och utveckla krav- och skyddsnivåer.</P> <P class="p446 ft8">I samma bestämmelse ska slås fast att MSB ska tillhandahålla en kanslifunktion för Myndighetsrådet och att rådet vid behov ska inrätta arbetsgrupper.</P> <P class="p238 ft9">I avsnitt 9.2.4 nedan beskrivs utredningens förslag avseende tillsyn. Förslaget om MSB:s tillsynsmandat över statliga myndigheters informationssäkerhetsarbete ska slås fast i en ny bestämmelse.</P> <P class="p238 ft13">För att avgränsa MSB:s tillsynsuppgift mot den tillsyn som sker enligt säkerhetsskyddsförordningen föreslås att det föreskrivs att undantag ska gälla för sådant arbete som redan är föremål för tillsyn i enlighet med 39 § säkerhetsskyddsförordningen. Enligt den bestäm- melsen ska säkerhetsskyddet kontrolleras av Försvarsmakten och Säkerhetspolisen.</P> <P class="p238 ft9">MSB bör på motsvarande sätt som anges i 34 § KBF ges rätt att meddela föreskrifter rörande internt informationssäkerhetsarbete, kryptografiska funktioner. Föreskriftsmandatet bör också gälla för upphandling och incidentrapportering. Föreskriftsuppgiften för MSB ska således gälla de föreskrifter som behövs för verkställigheten av de allmänna och särskilda krav på statliga myndigheters interna informationssäkerhetsarbete som avses i <NOBR>5–11</NOBR> och 15 §§, med beaktande av nationell och internationell standard, de föreskrifter som behövs för verkställigheten av 14 §, utom i fråga om Försvarets materielverk, Försvarets radioanstalt, Kustbevakningen, Försvars- högskolan, Totalförsvarets forskningsinstitut och Fortifikations- verket, de föreskrifter som behövs för verkställigheten av 16 § utom i fråga om myndigheter för vilka Försvarsmakten eller Säkerhetspolisen meddelar motsvarande föreskrifter enligt 44 § säkerhetsskydds- förordningen samt de föreskrifter som behövs för verkställigheten av sådan <NOBR>it-incidentrapportering</NOBR> som avses i 17 §.</P> <P class="p361 ft8">Förordningen föreslås träda i kraft den 1 januari 2016. I en bilaga till förordningen kan anges vilka myndigheter som ingår i myndighetsrådet.</P> <P class="p223 ft8">Införs föreslagen förordning ska motsvarande bestämmelser i KBF upphävas.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">226</P> </DIV> </DIV> <DIV id="page_227"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323227x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p249 ft16"><SPAN class="ft16">9.2.4</SPAN><SPAN class="ft63">Tillsyn</SPAN></P> <P class="p503 ft38"><SPAN class="ft101">Förslag: </SPAN>Tillsynen över den statliga sektorns informations- säkerhet samordnas och förstärks. MSB får i uppgift att bedriva tillsyn över statliga myndigheters arbete med informations- säkerhet. Den sektorsvisa tillsynen i staten ses över.</P> <P class="p410 ft16">Tillsyn i dag</P> <P class="p132 ft8">Säkerhetspolisen är den enda myndighet som har mandat att granska informationssäkerhet i den civila statsförvaltningen. Säker- hetspolisens granskning utgår från säkerhetsskyddsregleringen, vilket begränsar vad som kan omfattas av och göras i en gransk- ning. De verksamheter som granskas av Säkerhetspolisen utgör också i praktiken en ytterst liten del av den totala statsförvalt- ningen.</P> <P class="p14 ft8">Försvarsmakten (MUST) bedriver tillsyn av informationssäker- heten enligt säkerhetsskyddsförordningen över de myndigheter som hör till Försvarsdepartementet, Försvarshögskolan och Forti- fikationsverket.</P> <P class="p269 ft8">Datainspektionen genomför tillsyn som omfattar informations- säkerhet men dess tillsyn berör en delmängd av informationssäker- heten, nämligen integritetsskyddsaspekterna.</P> <P class="p15 ft8">PTS tillsynsroll över sektorn elektroniska kommunikationer ger PTS indirekt en viktig roll för statsförvaltningens informations- säkerhet eftersom den är beroende av tillgång till säkra elektroniska kommunikationer. PTS har bland annat i uppgift att bedriva tillsyn över att operatörer upprätthåller en grundläggande driftsäkerhet avseende allmänna elektroniska kommunikationer.</P> <P class="p15 ft37">Riksarkivet har ett tillsynsansvar avseende informationssäkerhet men tillsynen är begränsad till att omfatta det som finns i myndig- heternas arkiv, det vill säga i huvudsak allmänna handlingar.</P> <P class="p89 ft16">Behov av förstärkning och samordning av tillsyn</P> <P class="p210 ft9">Riksrevisionen (RiR) har poängterat behovet av tillsyn. I sin rap- port anger RiR följande slutsatser och rekommendationer avseende stöd och tillsyn (samt rekommendationer för att förbättra statens</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">227</P> </DIV> </DIV> <DIV id="page_228"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p237 ft8">informationssäkerhet) (s. 80). ”Rikspolisstyrelsen genom Säker- hetspolisen utövar tillsyn, men har av resursskäl inte möjlighet att göra det i hela förvaltningen, utan har inriktat sin tillsyn på de myndigheter som har den allra mest skyddsvärda verksam- heten.”/…/” RiR bedömer att resurser för tillsyn generellt inte har prioriterats i tillräcklig utsträckning.” Vidare anges (s. 81) att den tillsyn som sker täcker i stort sett endast den mest skyddsvärda verksamheten – merparten av den civila statsförvaltningen lämnas utan tillsyn. Åtgärder vidtas inte alltid efter genomförda in- spektioner. ”/…/</P> <P class="p238 ft8">För att förbättra statens informationssäkerhet rekommenderar RiR därför regeringen bl.a. att utöka tillsynen av informations- säkerheten i den civila statsförvaltningen, så att den omfattar väsentligt mer än de allra mest skyddsvärda delarna. Vidare föreslås att regeringen låter utreda om ansvaret för att utöva tillsyn över informationssäkerheten i den civila statsförvaltningen kan samlas och koordineras på ett bättre sätt än i dag. Som bakgrund till rekommendationen om att stärka MSB:s roll för att samla kun- skapen om informationssäkerhetsläget konstaterade RiR därtill följande(s. 43). ”MSB har ett omfattande uppdrag att stödja sam- hällets informationssäkerhet, men har inget uppdrag att utöva till- syn. MSB är därför till stor del beroende av att aktörer lämnar upp- gifter frivilligt. Den nätverksstruktur som MSB delvis grundar sin informationsinhämtning på ger enligt RiR en insyn i vilka problem och hot som finns mot samhället i stort. Sättet att inhämta in- formationen kan dock innebära svårigheter för MSB att agera mot myndigheter och företag som deltar i informationsutbytet, eftersom agerandet kan riskera förtroendet och därmed grunden för informationsinsamlingen.”</P> <P class="p276 ft13">För flera av de uppgifter som nu helt eller delvis ligger inom MSB:s ansvarsområde, samhällets informationssäkerhet inklusive incidentberedskap samt även krisberedskap i stort saknas möjlig- heter att genom tillsyn öka kunskapen om hot, risker och vidtagna säkerhetsåtgärder. Riksrevisionen pekar på att en bra och systema- tiskt underbyggd lägesbild är en förutsättning för att kunna säker- ställa att man vidtar rätt åtgärder (s. 77). Även om uttalandet görs med koppling till informationssäkerheten i förvaltningen torde det ha bäring på både arbete med samhällets informationssäkerhet i stort liksom krisberedskap.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">228</P> </DIV> </DIV> <DIV id="page_229"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p209 ft13">Enligt MSB:s föreskrifter om statliga myndigheters inform- ationssäkerhet, MSBFS 2009:10, ska en myndighet i sitt arbete med att upprätthålla säkerhet i sin informationshantering tillämpa ett ledningssystem för informationssäkerhet (LIS) (se avsnitt 5.3.3) Den senare uppföljningen av efterlevnaden av <NOBR>LIS-föreskrifterna</NOBR> gjordes under 2014. MSB har kartlagt hur statliga myndigheter tillämpar föreskrifterna om ledningssystem för informationssäker- het (LIS). Av rapporten ”En bild av myndigheternas informations- säkerhetsarbete 2014” framgår att en stor del av myndigheterna inte har ett fungerande systematiskt informationssäkerhetsarbete. Med hänsyn till att föreskrifterna varit i kraft sedan december 2009 och rör grundläggande informationssäkerhetsarbete är det enligt utredningens mening tydligt att det krävs tillsyn av informations- säkerheten hos den civila statsförvaltningen. Vidare instämmer utredningen i RiR:s rekommendationer och slutsatser i frågan.</P> <P class="p69 ft16">MSB ges tillsynsuppgift</P> <P class="p132 ft8">Mot bakgrund av MSB:s nuvarande ansvar på området samt utred- ningens förslag avseende MSB:s roll i det föreslagna myndighetsrådet och förordningen för statliga myndigheters informationssäkerhet lämpar sig MSB bäst för att utföra tillsynen över myndigheternas arbete med informationssäkerhet. MSB bör därför utöver det föreslagna föreskriftsmandatet i den nya förordningen även ges tillsynsuppgift över statliga myndigheters arbete med informations- säkerhet. Tillsynen kopplas till föreskriftsmandatet och bör röra efterlevnaden av förordningen.</P> <P class="p58 ft8">Genomförandet av MSB:s tillsynsuppgift kommer säkerligen att kräva samverkan med myndigheterna i myndighetsrådet. Det är dessutom nödvändigt att samordning sker i förhållande till den tillsyn som utövas under säkerhetsskyddslagen för att undvika överlappande tillsynsansvar. Vidare krävs samordning med den tillsyn inom staten avseende informationssäkerhet som sker genom sektorsansvariga myndigheters försorg.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">229</P> </DIV> </DIV> <DIV id="page_230"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323230x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p154 ft16">Tillsyn sektorsvis</P> <P class="p155 ft13">Ett antal myndigheter vid sidan om Försvarsmakten, Säpo och sektorsmyndigheterna har tillsynsansvar inom informationssäker- hetsområdet, t.ex. Datainspektionen, Finansinspektionen och Strålsäkerhetsmyndigheten. Det är en krävande uppgift som ställer höga krav på expertkompetens. Uppdraget omfattar alla aspekter av informationssäkerhet, allt från administrativ säkerhet till <NOBR>it-säker-</NOBR> het och krypto. Det är inte rimligt att kräva eller förutsätta att den bredd och djup i kompetens som krävs ska finnas inom varje till- synsmyndighet. Betydligt effektivare och mer rationellt vore om tillsynen genomförs i samverkan med en utpekad myndighet som har den djupa kompetens som krävs. Då skulle tillsynsmyndigheten ha ansvaret och kunskapen om föremålet för tillsyn, och samtidigt dra fördel av expertmyndighetens djupa fackkunskaper. Detta bidrar till kvalitet och stabilitet i tillsynen och en jämn tillämpning av informationssäkerhetskraven på tillsynsobjekten. En samord- ning av stöd till tillsynsverksamheten vore också effektivt sett till både ekonomi och säkerhet.</P> <P class="p259 ft8">Enligt utredningens mening kan konstateras att en generell översyn behövs för att säkerställa att tillräcklig tillsyn över in- formationssäkerheten föreligger i olika aktuella sektorer. Utred- ningen anser att en sådan översyn även bör omfatta frågan om hur den sektorsvisa tillsynen ska organiseras. Det är av vikt att se till att den sektorsvisa tillsynen harmonierar med den allmänna tillsyn som MSB ska bedriva.</P> <P class="p504 ft16"><SPAN class="ft16">9.2.5</SPAN><SPAN class="ft63">Informationssäkerhet som en del av myndighetens revision</SPAN></P> <P class="p505 ft8"><SPAN class="ft50">Bedömning: </SPAN>Revision av informationssäkerhet bör utvecklas. Myndighetsledningens ansvar för att upprätthålla säkerhet i myndighetens informationshantering förtydligas genom rap- porteringskrav i förordning (2000:605) om årsredovisning och budgetunderlag.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">230</P> </DIV> </DIV> <DIV id="page_231"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p89 ft16">Ledningens roll för informationssäkerhetsarbetet</P> <P class="p132 ft8">Ett systematiskt arbete med informationssäkerhet i en organisation behöver bedrivas som en process innehållande en rad steg. Att identifiera skyddsvärda tillgångar, klassificera sin information för att veta vilken nivå av skydd som krävs och sedan hantera risker och sårbarheter kopplade till hanteringen av informationen är cen- trala delar i denna process. Det är dock betydelsefullt att peka på att informationssäkerhetsarbetet inte är avslutat i och med detta. En organisations informationshantering utvecklas och förändras kontinuerligt. På samma sätt sker en konstant utveckling av nya typer av risker och sårbarheter som organisationen behöver identi- fiera och hantera. En grundläggande förutsättning för att arbetet med att skydda en av organisationens mest centrala tillgångar – informationen – är att ledningen engagerar sig i arbetet och driver frågorna.</P> <P class="p59 ft9">Ledningens roll för informationssäkerhetsarbetets framgång kan svårligen överskattas eftersom det är ledningen som i den praktiska kontexten beslutar om både mål och medel för arbetet. Ledningens agerande spelar dessutom en stor roll för säkerhetskulturen inom organisationen, det vill säga om informationssäkerheten upplevs som prioriterad eller inte. Redan InfoSäkutredningen <NOBR>2002–2005</NOBR> pekade på att informationssäkerhet är en ledningsfråga.</P> <P class="p15 ft9">För att ledningen av organisationen ska få verktyg för att kunna säkerställa att informationssäkerhetsarbetet bedrivs på ett sådant sätt som avsetts och mot de mål som satts upp i organisationen krävs en kontinuerlig uppföljning och granskning av det bedrivna arbetet. Detta ger inte bara ledningen möjlighet att säkerställa att tid och resurser har använts på avsett sätt utan även viktiga besluts- underlag för inriktning och resurssättning av framtida arbete. Uppföljningens och därmed granskningens yttersta syfte är att förbättra verksamheten genom att följa upp, granska och analysera hur den fungerar. Ofta följer man upp i vilken utsträckning organi- sationen med sitt arbete lyckas nå de uppsatta målen.</P> <P class="p269 ft38">Uppföljning och granskning kan ske på många olika sätt. Revision, både extern och intern sådan, är ett särskilt kraftfullt verktyg i och med att det utförs enligt i förväg givna regler och av oberoende parter. För organisationer som är certifierade i enlighet med de internationella informationssäkerhetsstandarderna i</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">231</P> </DIV> </DIV> <DIV id="page_232"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p462 ft8">ISO/IEC <NOBR>27000-familjen</NOBR> ställs uttryckliga krav på revision. I krav- standarden ISO 27001 framgår att själva ledningssystemets funktion ska granskas regelbundet, liksom riskbedömningarna, alla kvarvarande risker och den risknivå man har fastställt som godtag- bar. Organisationen ska också göra interna revisioner av lednings- systemet.</P> <P class="p69 ft16">Brister i arbete med uppföljning och revision</P> <P class="p167 ft8">Även för organisationer som inte till alla delar följer nämnda informationssäkerhetsstandarder är uppföljning och revision en viktig del i ett systematiskt arbete. Bristande uppföljning och revision kan mycket snabbt få påtagliga konsekvenser för organisationens arbete. Det rör sig inte bara om risker att organisationen på grund av okunskap och bristande underlag prioriterar och genomför säkerhetsåtgärder i en mindre lämplig tidsordning. Det kan även innebära att allvarliga säkerhetsbrister inte hanteras och förblir oupptäckta under en längre tid.</P> <P class="p153 ft13">Säkerhetsbrister kan skapa risker för att antagonister tillskansar sig känslig information eller förvanskar densamma. Vidare kan processer och tekniska system fallera vilket kan leda till allvarliga tillgänglighetsbrister. Säkerhetsbrister kan även resultera i att organisationen genom sitt förfarande de facto bryter mot lagar och förordningar. En stor del av de nationella och internationella regel- verk som organisationer har att följa ställer uttryckliga krav på hur information ska hanteras. Detsamma gäller för exempelvis olika typer av branschregleringar och interna föreskrifter.</P> <P class="p245 ft13">De som reviderar och genomlyser informationssäkerhetsarbetet har en mycket viktig roll att spela när det gäller kontrollen av att detta arbete bedrivs på ett korrekt sätt och mot etablerade mål. För att kunna bedriva ett systematiskt informationssäkerhetsarbete torde det mot denna bakgrund kunna slås fast att revision och uppföljning är av avgörande betydelse.</P> <P class="p153 ft8">I dag finns dock brister på området. Beroende på vilken aktör som uppvisar brister kan konsekvenserna av bristande säkerhet i informationshanteringen (bristande informationssäkerhetsarbete) även få följdverkningar för andra aktörer. Det handlar om ett brett</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">232</P> </DIV> </DIV> <DIV id="page_233"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p145 ft10">spektra av aktörer, såsom kunder, underleverantörer, bidragsmot- tagare och resenärer i alla delar av samhället.</P> <P class="p506 ft13">När det gäller myndigheter och deras uppföljning har Riks- revisionen konstaterat i sin årsrapport från 2007 att den interna kontrollen behöver stärkas eftersom granskning visat på flera olika typer av svagheter i myndigheternas interna styrning och kontroll.</P> <P class="p239 ft8">Bland annat slås fast att de ”myndigheter som med hjälp av it hanterar samhällsviktig och känslig information måste ha en god informationssäkerhet”.</P> <P class="p148 ft13">En konsekvens av svagheterna i myndigheternas interna styr- ning och kontroll konstaterade Riksrevisionen är att ”incidenter, till exempel virusattacker, medfört att medborgare och företag inte fått den service de förväntar sig. Brister i skyddet av webbplatser har också lett till att obehöriga fått tillgång till integritetskänsliga uppgifter.” Därefter konstaterar Riksrevisionen att dess gransk- ningar visar på ”allvarliga brister i hur många ledningar styr och kontrollerar informationssäkerheten vid myndigheten”.</P> <P class="p229 ft8">Ett av åtgärdsförslagen som Revisionen lägger fram till rege- ringen för att hantera detta är att ”klargöra myndigheternas ansvar för såväl intern kontroll som informationsskyldigheten gentemot regeringen”.</P> <P class="p507 ft39">MSB:s kartläggning av myndigheternas informationssäkerhetsarbete</P> <P class="p400 ft13">I MSB:s föreskrifter om statliga myndigheters informationssäker- het (MSBFS 2009:10) ställs krav på statliga myndigheter under regeringen (med undantag för Regeringskansliet, Försvarsmakten, Kommittéväsendet och utlandsmyndigheterna) att arbeta systema- tiskt med informationssäkerhet. Föreskrifterna ställer uttryckliga krav på att myndigheterna ska införa ett ledningssystem för in- formationssäkerhet och uttryckliga krav på att ledningen löpande ska informera sig om arbetet samt minst en gång per år följa upp och utvärdera arbetet.</P> <P class="p204 ft13">MSB genomförde under våren 2014 en kartläggning av hur de statliga myndigheterna tillämpade föreskrifterna i sitt inform- ationssäkerhetsarbete. Resultatet har publicerats i en rapport, En bild av myndigheternas informationssäkerhetsarbete 2014, som visar att det fortfarande finns påtagliga brister när det gäller arbete</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">233</P> </DIV> </DIV> <DIV id="page_234"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">med att kontrollera efterlevnad. Endast 65 procent uppger att de kontrollerar hur myndighetens styrande dokument efterlevs, 26 procent anger att de inte gör en sådan kontroll och 9 procent uppger att de inte har några styrande dokument.</P> <P class="p72 ft8">I rapporten konstateras också att ”mindre än hälften av myn- digheterna uppger att de alltid, eller i stor utsträckning, dokumen- terar granskningar och säkerhetsåtgärder av större betydelse som har vidtagits”. När det gäller ledningens roll visar resultatet att knappt hälften av myndigheternas ledning i stor utsträckning håller sig löpande informerade om arbetet respektive följer upp in- formationssäkerhetsarbetet åtminstone en gång per år. Den höga svarsfrekvensen i undersökningen gör de redovisade resultaten signifikanta och extra intressanta.</P> <P class="p63 ft16">Behov av ett tydligare regelverk</P> <P class="p155 ft13">Sammantaget kan dels konstateras att uppföljning och revision är en nödvändig förutsättning för ett systematiskt informationssäker- hetsarbete, dels konstateras att det fortfarande finns brister. När det gäller statliga myndigheter kan noteras att de brister som Riks- revisionen pekat på, trots att det sedan ett antal år tillbaka ställs tydligare krav på informationssäkerhetsarbetet hos statliga myn- digheter, fortfarande till del finns. Detta gäller även med all sanno- likhet såväl den kommunala nivån som landstingen. I detta ska också beaktas att leverantörerna av <NOBR>it-tjänster</NOBR> till det offentliga i huvudsak består av privata företag, vilket gör att även dessa på olika sätt måste omfattas av informationssäkerhetsarbetet.</P> <P class="p110 ft8">Samhällsutvecklingen och det ökande beroendet av fungerande informationshantering samt den nu allt mer utbredda avsaknaden av alternativ till informationshantering med hjälp av <NOBR>it-system</NOBR> gör att vikten av ett informationssäkerhetsarbete som får faktisk effekt för skyddet av information har ökat betydligt. Detta innebär sam- tidigt att de brister som påvisats i uppföljning och revision av säkerhetsarbetet kan potentiellt sett få allt större konsekvenser för allt fler.</P> <P class="p226 ft37">Regelverket som i dag reglerar revision, både inom privat och inom offentlig sektor, kan förtydligas. Givet de brister som påvisats och ovan redovisats finns det skäl att se närmare på dessa möjligheter. Här</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">234</P> </DIV> </DIV> <DIV id="page_235"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p283 ft9">behöver dock skiljas på reglerna för extern revision, som exempelvis görs av Riksrevisionen, och intern revision. Det är särskilt reglerna för intern revision som upplevs uppvisa brister i dag.</P> <P class="p67 ft16">Förvaltningsmyndigheter under regeringen</P> <P class="p210 ft9">När det gäller förvaltningsmyndigheter under regeringen styrs internrevisionen av internrevisionsförordningen (2006:1228). Enligt 4 § nämnda förordning ska internrevisionen ”utifrån en analys av verksamhetens risker självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med en rimlig säkerhet fullgör de krav som framgår av 3 § myndighetsförordningen</P> <P class="p4 ft10">(2007:515)”.</P> <P class="p58 ft8">Som framgått har behovet av att skydda information blivit en allt viktigare angelägenhet för myndigheterna. Att i en sådan situ- ation säkerställa att internrevisionen beaktar även informations- säkerhetsfrågorna har potential att öka fokus på frågorna och skapa än förbättrade förutsättningar för att ett systematiskt inform- ationssäkerhetsarbete som får faktisk effekt kan bedrivas. Utred- ningen föreslår därför att det i förordningen (2000:605) om års- redovisning och budgetunderlag införs en bestämmelse om att till årsredovisningen en tilläggsupplysning ska lämnas om genomförd internrevision och status för informationssäkerhetsarbete på myn- digheten.</P> <P class="p58 ft8">Ett alternativ vore att i myndighetsförordningen (2007:515) införa en bestämmelse om att myndighetens ledning ansvarar för att upprätthålla säkerhet i sin informationshantering.</P> <P class="p243 ft33"><SPAN class="ft33">9.3</SPAN><SPAN class="ft48">Staten som tydlig kravställare</SPAN></P> <P class="p508 ft8">Informationssäkerhetsproblematiken når samhällets alla delar och nivåer. Privat och offentlig sektor är en del av och drabbade av samma informationssäkerhetsproblematik. Båda sektorerna kan också bidra till att förbättra situationen på olika sätt.</P> <P class="p257 ft8">De överväganden och förslag som utredningen redovisar i betänkandet rör statens eget agerande. Detta innebär inte att ut- redningen anser att tyngdpunkten i informationssäkerhetsarbetet ska ligga där. Som nämnts i det inledande avsnittet ska förslagen</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">235</P> </DIV> </DIV> <DIV id="page_236"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323236x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p462 ft10">snarare ses som ett första steg som avser att åtgärda de mest ange- lägna bristerna i den centrala statsförvaltningen.</P> <P class="p144 ft13">I detta avsnitt redovisas hur utredningen anser att staten bör ut- veckla beställarkompetensen avseende hantering och överföring av information i elektroniska kommunikationsnät och <NOBR>it-system.</NOBR> Syf- tet är att få tillfredsställande <NOBR>it-lösningar</NOBR> och samtidigt förenkla och sänka kostnader för tjänster och produkter.</P> <P class="p284 ft8">Utifrån sammanfallande intressen inom informationssäkerhets- området tas hänsyn till näringslivets behov samtidigt som staten bygger sin informationssäkerhet. Detta kan ske genom att samtalet mellan näringslivet och regeringen med dess myndigheter fördju- pas.</P> <P class="p243 ft16"><SPAN class="ft16">9.3.1</SPAN><SPAN class="ft63">Kravställning vid upphandling</SPAN></P> <P class="p509 ft16">Förslag:</P> <P class="p510 ft8"><SPAN class="ft10">1)</SPAN><SPAN class="ft94">Statlig upphandling ska innehålla hänvisning till för staten gällande standarder och krav på certifiering i de situationer där säkerhetsnivåer har fastställts för respektive verksamhet.</SPAN></P> <P class="p511 ft8"><SPAN class="ft10">2)</SPAN><SPAN class="ft94">Myndigheten för samhällsskydd och beredskap (MSB) ges i uppdrag att ta fram skyddsprofiler som anger minimikrav på säkerhet i vanligt förekommande </SPAN><NOBR>it-produkter</NOBR> som används av statliga myndigheter.</P> <P class="p510 ft8"><SPAN class="ft10">3)</SPAN><SPAN class="ft102">Det bör införas ett krav på att rapportera vilken leverantör som en statlig myndighet valt då ramavtal rörande </SPAN><NOBR>it-lösningar</NOBR> används.</P> <P class="p510 ft8"><SPAN class="ft10">4)</SPAN><SPAN class="ft94">Avseende tjänster och produkter att användas för kommuni- kation inom staten, bör upphandlande myndighet överväga möjligheten att tillämpa lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet, om upphandling enligt lagen (2007:1091) om offentlig upphandling inte medger nödvändigt kravställande.</SPAN></P> </DIV> <DIV id="id_3"> <P class="p4 ft20">236</P> </DIV> </DIV> <DIV id="page_237"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p105 ft16"><NOBR>It-standarder</NOBR> och krav på certifiering</P> <P class="p210 ft8">En grundförutsättning för dagens informationssamhälle är säker- heten i informationssystemen. All användning av informationstek- nik är starkt beroende av att <NOBR>it-produkter</NOBR> och <NOBR>it-tjänster</NOBR> har säker- hetsegenskaper som ger det skydd som krävs och utlovas. Eftersom nationellt godkända system inte kan omhänderta hela samhällets behov i stort bygger de allra flesta säkerhetslösningar på allmänt tillgängliga kommersiella produkter, så kallade COTS (Commer- cial of the shelf). Fördelarna med COTS är att det finns ett stort utbud och anskaffningen är enkel. Nackdelarna i jämförelse med nationellt godkända produkter, är att myndigheter måste förlita sig på att produkter håller de säkerhetsegenskaper som leverantören utlovat.</P> <P class="p58 ft8">I dag pågår ett flertal internationella initiativ för att ta fram standarder och rekommendationer för hur man skapar <NOBR>it-säkerhet</NOBR> i produkter. Ett sätt att skapa en kommersiellt driven process för att tillgodose samhället med kryptolösningar med tillräcklig kvalitet är att låta kommersiella aktörer bekosta evalueringar av sina produk- ter genom internationellt erkända certifieringssystem som Com- mon Criteria (CC) inom ramen för CCRA- överenskommelsen. Angående Common Criteria.</P> <P class="p69 ft16">Upphandling</P> <P class="p256 ft13">När en organisation väljer att upphandla nya <NOBR>it-lösningar</NOBR> som till exempel system, molntjänster eller outsourcing av <NOBR>it-drift</NOBR> ska det föregås av en riskanalys eftersom det påverkar informationssäker- heten. En väl genomförd upphandling kan ha positiva säkerhets- effekter inte bara på det system eller den tjänst som upphandlas utan även i ett vidare perspektiv. Ett exempel på detta är att det generella säkerhetsmedvetandet kan höjas när de informations- hanteringsprocesser som ska stödjas analyseras och behovet av säkerhet fastställs. Å andra sidan kan upphandlingar som sker uti- från ett otillräckligt underlag leda till att organisationens säkerhet avsevärt försämras för lång tid framåt. Med tanke på att upphand- ling av <NOBR>it-relaterade</NOBR> tjänster blir allt vanligare får upphandling också en alltmer framskjuten plats i informationssäkerhetsarbetet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">237</P> </DIV> </DIV> <DIV id="page_238"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p459 ft9">För att möta detta behov har MSB tillsammans med Kammar- kollegiet tagit fram ett stöd riktat till myndigheter, kommuner och landsting i form av en vägledning <SPAN class="ft14">Vägledning – informationssäkerhet i upphandling </SPAN>(Publ.nr MSB555). Även PTS har tagit fram en väg- ledning för att ge stöd vid anskaffning av extern elektronisk kom- munikation, exempelvis internetanslutning och telefoni <SPAN class="ft14">Robust elektronisk kommunikation – vägledning för användare vid anskaff- ning </SPAN><NOBR>(PTS-ER-2011:16).</NOBR> Som en fördjupning har också ett par av- gränsade studier <SPAN class="ft14">Outsourcing av </SPAN><NOBR><SPAN class="ft14">it-tjänster</SPAN></NOBR><SPAN class="ft14"> i kommuner </SPAN>(publ.nr MSB728) och <SPAN class="ft14">Informationssäkerhet i Kammarkollegiets ramavtal</SPAN></P> <P class="p512 ft9">(dnr <NOBR>2013-3300)</NOBR> genomförts som båda visar att den offentliga upp- handlingen av system och <NOBR>it-relaterade</NOBR> tjänster har stora brister. Studierna har dels rört hur ett antal myndigheter, ett landsting och en offentlig intresseorganisation formulerat krav på säkerhet när de använt Kammarkollegiets ramavtal för <NOBR>it-drift,</NOBR> dels hur kommuner uppfattar möjligheterna att genomföra upphandlingar där säkerhet är inkluderad. Sammanfattningsvis kan sägas att studierna indikerar att det finns omfattande svårigheter både för statliga myndigheter och kommuner att formulera initiala krav vid upphandlingen men också att upprätthålla en beställarkompetens under hela den tid som avtal gäller. Det är sannolikt inte heller helt tydligt för de myndigheter som nyttjar Kammarkollegiets ramavtal att hela ansvaret för att formulera säkerhetskrav ligger på varje enskild myndighet. Sannolikt finns det outtalade förväntningar både på ramavtalet och på leverantörerna om att säkerhetsaspekterna ska beaktas på ett generellt plan vid upphandlingarna utan att kunderna behöver genomdriva egna villkor. Osäkerheten kring säkerhets- aspekter vid upphandling bör ses i ljuset av att var och en av myn- digheterna, landstingen och kommunerna är <NOBR>sällan-köpare</NOBR> av it- lösningar där flertalet knappast kan förväntas kunna ha hela den kompetens som krävs för att upphandla säkerhet i den egna organi- sationen. Intrycket av att uppgiften att säkerställa god inform- ationssäkerhet vid upphandlingar uppfattas som svårlöst stärks i tidigare refererad rapport från MSB <SPAN class="ft14">En bild av myndigheternas informationssäkerhetsarbete 2014 – tillämpning av MSB:s föreskrifter</SPAN></P> <P class="p513 ft10">(avsnitt 7.4.2).</P> <P class="p104 ft8">Utöver den bristande säkerhet som blir följden av ovanstående förhållanden leder oklarheterna också till att den utvecklings- potential som finns hos leverantörerna inte utvecklas. Till skillnad</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">238</P> </DIV> </DIV> <DIV id="page_239"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p283 ft13">mot flertalet av de offentliga kunderna finns hos leverantörerna en hög kompetens att utveckla <NOBR>it-lösningar.</NOBR> Denna kompetens skulle kunna tas i anspråk även för att inkludera standardiserade säker- hetslösningar vilket skulle vara ekonomiskt fördelaktigt för både kund och leverantör. Förutsättningen för detta är en mer standar- diserad kravställning från de offentliga aktörerna. Här finns det anledning att peka på den gemensamma nationella styrmodell som föreslås i avsnitt 9.2.1 och som bl.a. ska innehålla ett ramverk med gemensamma skyddsnivåer kopplade till informationsklassning. Leverantörerna får genom skyddsnivåerna möjlighet att utveckla standardiserade paketlösningar som kunderna kan välja utifrån sin informationsklassning. Vid sidan om den möjliga ekonomiska rationalisering som ligger i en sådan lösning blir även kraven på heltäckande kompetens hos kunderna mindre eftersom de inte behöver detaljera sina kravställningar utan snarare välja en fastställd skyddsnivå. Ytterligare en vinst är att kontroll av efterlevnad avse- ende leverantörerna skulle kunna samordnas eftersom kraven skulle vara i huvudsak de samma.</P> <P class="p59 ft9">Samma ramverk bör även användas då myndigheter och kom- muner samverkar i gemensamma <NOBR>it-lösningar.</NOBR> Av utredningens kontakter med MSB har framgått att den nuvarande situationen bedöms oroande då kravställningen och ansvarsfördelningen i dessa relationer förefaller vara ännu mer eftersatta än i de kommersiella relationerna. Det saknas för närvarande också former för att reglera parternas ansvar på ett effektivt sätt. Dessutom saknas incitament för att följa upp ingångna överenskommelser vilket gör moti- vationen att utarbeta avtalsliknande förbindelser låg.</P> <P class="p69 ft16">Koncentration av leverantörer</P> <P class="p376 ft13">På nationell nivå blir hot- och riskbilden aggregerad då allt större informationsmängder samlas hos ett fåtal leverantörer. Att det är ett fåtal leverantörer beror både på att den svenska marknaden är begränsad och är en konsekvens av de krav som finns i lagen om offentlig upphandling vilka leder till formell begränsning i mång- fald leverantörer. Statliga myndigheter är hänvisade till att sköta sina upphandlingar via Kammarkollegiets ramavtal som i praktiken leder till att det i huvudsak är tre stora leverantörer som levererar</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">239</P> </DIV> </DIV> <DIV id="page_240"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p194 ft13">exempelvis drifttjänster. MSB har i den rapport som togs fram i samband med den så kallade <NOBR>Tieto-incidenten</NOBR> <SPAN class="ft34">Reflektioner kring samhällets skydd och beredskap vid allvarliga </SPAN><NOBR><SPAN class="ft34">it-incidenter</SPAN></NOBR><SPAN class="ft34"> </SPAN>(Publ.nr. MSB367) lyft fram risken med den starka koncentrationen eftersom en <NOBR>it-incident</NOBR> hos en av dessa kan få mycket vittomfat- tande konsekvenser på samhällsnivå. I en nyligt publicerad rapport från MSB förstärks denna bild. I rapporten <SPAN class="ft34">It- och informations- säkerhet i Sverige. Erfarenheter och reflektioner från några större it- incidenter under </SPAN><NOBR><SPAN class="ft34">2012–2014</SPAN></NOBR><SPAN class="ft34"> </SPAN>(publ.nr: MSB721 – januari 2015) besk- rivs fem fall av it- och informationssäkerhetsincidenter, som in- träffat i Sverige de senaste tre åren och där samhällets inform- ationshantering påverkades kraftigt. Trenden mot koncentration stärks ytterligare av att de nationella tjänster och myndigheter, som exempelvis Statens servicecenter har sina tjänster placerade hos i huvudsak samma leverantörer. Ett första steg för att reducera ris- kerna för ökad koncentration på leverantörssidan är att införa ett krav på myndigheterna att återrapportera vilken leverantör som valts då ramavtal rörande <NOBR>it-lösningar</NOBR> används. Utredningen före- slår därför att MSB bemyndigas att meddela föreskrifter om ett rapporteringskrav. Ett sådant bemyndigande föreslås i 20 § förordningen för statliga myndigheters informationssäkerhet, se avsnitt 9.2.3. Det bör därvid utredas om det finns ett behov av samordning avseende till vilken myndighet som återrapportering ska ske när det gäller <NOBR>it-produkter</NOBR> som omfattas av säkerhets- skyddslagens krav.</P> <P class="p158 ft16">Utvecklad beställarkompetens</P> <P class="p155 ft9">Som vi konstaterat ovan är beställarkompetensen för informations- säkerhet alltför svag, vilket är ett grundläggande problem. Ägarna och användarna av samhällskritisk infrastruktur måste först och främst inse att den infrastruktur de äger respektive nyttjar i många delar är kritisk, att den behöver skyddas, att skyddet inte enbart ska vara fysiskt utan även av informationssäkerhetsskydd. Om beställa- ren är medveten om vad som krävs av ett bra informationssäker- hetsskydd så är det också möjligt att definiera skyddet, anpassa det och upphandla. En metod att utveckla beställarkompetensen kan vara att använda en gemensam standard för informationssäkerhet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">240</P> </DIV> </DIV> <DIV id="page_241"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p287 ft8">Tillgång till certifierade produkter enligt evalueringskriterier för <NOBR>it-säkerhet,</NOBR> Common Criteria (CC), eller för tjänster enligt Led- ningssystem för informationssäkerhet (LIS) underlättar upphand- ling av informationssäkerhet. CC tillämpas redan inom flera olika sektorer, exempelvis försvar, finans, sjukvård, transport och kom- munikation.</P> <P class="p153 ft8">Staten har ett ansvar för att utveckla beställarkompetensen. Det kan bland annat ske genom att successivt infoga kravet på certifie- ring vid upphandling men också genom tillämpning av kvalitets- kraven i LIS.</P> <P class="p153 ft8">Utveckling av informationssäkerhet med stöd av internationellt accepterade standarder är en konstruktiv metod för att skapa tillit och förtroende såväl inom en organisation som mellan olika parter. Den möjliggör också en meningsfull revision av säkerheten, eftersom revisionen kan ske gentemot definierade mål och kvali- tetsrutiner, se avsnitt 9.2.5.</P> <P class="p153 ft8">Utredningen anser att statliga upphandlingar ska innehålla hän- visningar till <NOBR>it-standarder</NOBR> och krav på certifiering i de situationer där säkerhetsnivåer har fastställts för respektive verksamhet. Där- med kan samma krav som ställs på myndigheterna genom den före- slagna förordningen för statliga myndigheters informations- säkerhet även omfatta leverantörer av <NOBR>it-produkter</NOBR> (CC- certifierade) i samband med upphandling, se avsnitt 9.2.3. Detta medför också att det ställs krav på sådana produkter som ska upphandlas och användas i samhällsviktig verksamhet som bedrivs av staten.</P> <P class="p204 ft9">Krav på <NOBR>it-säkerhet</NOBR> i <NOBR>it-produkter</NOBR> kan ställas i form av skyddsprofiler som följer <NOBR>CC-standarden.</NOBR> Sådana skyddsprofiler beskriver kraven på olika typer av <NOBR>it-produkters</NOBR> säkerhetsegenskaper. MSB skulle tillsammans med berörda myndigheter och leverantörer kunna utveckla de skyddsprofiler som anger olika <NOBR>it-produkters</NOBR> minsta tillåtna säkerhetsnivå. I den föreslagna styrmodellen (se avsnitt 9.2.1) kan hänvisning ske till sådana skyddsprofiler. Härigenom skulle minimikrav för olika typer av <NOBR>it-produkters</NOBR> säkerhetsegenskaper kunna anges. Upphandlande myndighet som ska tillämpa styr- modellen kan kräva att leverantörerna certifierar sina produkter mot kraven som formulerats i dessa skyddsprofiler. Upphandlande myndigheter och Statens inköpscentral kan referera till skydds- profilerna i ramavtal. Leverantörer av produkterna kan få sina</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">241</P> </DIV> </DIV> <DIV id="page_242"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p514 ft8">produkter certifierade mot dessa krav och därmed få åtkomst till den stora myndighetssektorns marknad. På detta sätt undviks att oseriösa leverantörer med produkter med dålig säkerhet och lägre pris konkurrerar ut leverantörer med en mer medveten säkerhetsinriktning med potentiellt högre utvecklingskostnad.</P> <P class="p238 ft8">Utredningen föreslår därför att MSB ges i uppdrag att ta fram skyddsprofiler som anger minimikrav i vanligt förekommande it- produkter som används av statliga myndigheter. Vid utvecklingen av skyddsprofilerna kan samverkan ske med berörda myndigheter och representanter för näringslivet. Detta förslag innebär en betydande förstärkning av beställarnas förmåga att ställa tydliga och relevanta krav på <NOBR>it-produkters</NOBR> säkerhet.</P> <P class="p200 ft8">En satsning på tydligare hänvisning till standarder och krav på certifiering kan medföra större behov av i förväg utpekade evalueringslaboratorier.</P> <P class="p515 ft16">Möjligheten att tillämpa lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet (LUFS)</P> <P class="p350 ft8">Lagen (2007:1091) om offentlig upphandling (LOU) utgör den generella regleringen avseendet det allmännas upphandling. Det finns möjligheter inom <NOBR>LOU-systemet</NOBR> att ställa krav avseende t.ex. informationssäkerhet i de tjänster eller produkter som ska upp- handlas, (se MSB:s rekommendationer.) I en framtid där statliga myndigheter enligt föreskrifter är skyldiga att rapportera inträffade <NOBR>it-incidenter</NOBR> är det troligt att ett stående krav vid upphandling av <NOBR>it-tjänster</NOBR> kommer att vara att leverantören ska rapportera alla in- cidenter av visst slag.</P> <P class="p200 ft8">Då <NOBR>LOU-systemet</NOBR> tenderar att gynna det lägsta priset när andra faktorer är lika, är det av största vikt att myndigheter som avser upphandla tjänster eller produkter som ska garantera informations- säkerhet och skydd för den information som myndigheten enligt offentlighets- och sekretesslagen (2009:400) är skyldig att hantera på särskilt sätt, alltid utnyttjar möjligheter till kravställande i enlig- het med de standarder som framförallt MSB:s föreskrifter kräver att myndigheten följer.</P> <P class="p201 ft13">Om upphandlande myndighet efter att ha uttömt de möjligheter till kravställande som LOU medger likafullt inte anser att upp- handling kan ske med erforderliga garantier för säkerhet i staten</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">242</P> </DIV> </DIV> <DIV id="page_243"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323243x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p283 ft9">kan myndigheten i stället överväga att använda upphandlingsförfa- randet enligt lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet (LUFS). Lagen är avsedd för upphandlingar av materiel och tjänster som är av så känslig natur att upphandling enligt LOU eller lagen (2007:1092) om upphandling inom områ- dena vatten, energi, transporter och posttjänster inte lämpar sig. LUFS är i stort sett parallell till dessa två lagar men till skillnad från dem innehåller LUFS bestämmelser om informationssäkerhet, försörjningstrygghet och underentreprenad. Lagen genomför huvudsakligen Europaparlamentets och rådets direktiv2009/81/EG.</P> <P class="p243 ft16"><SPAN class="ft16">9.3.2</SPAN><SPAN class="ft63">Fördjupad dialog mellan privat och offentlig sektor</SPAN></P> <P class="p492 ft10"><SPAN class="ft16">Förslag: </SPAN>Regeringen fördjupar dialogen mellan privata och offentliga aktörer.</P> <P class="p493 ft16">Näringslivets roll</P> <P class="p256 ft37">Den tekniska utvecklingen på <NOBR>it-området</NOBR> är i allt väsentligt styrd av olika privata aktörer på marknaden. Tekniska framsteg omsätts mycket snabbt i olika produkter och tjänster. På motsvarande sätt expanderar marknaden för informationssäkerhet inom offentlig och privat verksamhet och omfattar också ett stort antal sektorer. Datorisering av de system som förser samhället med bränsle, el, värme, vatten och transporter sker i snabb takt och är i huvudsak privatägd. Tillverkarnas produkter och system styrs av programvaror och blir i allt högre grad uppkopplingsbara över elektroniska kommunikationsnät för styrning, övervakning, service m.m. Därmed ställs höga krav på den gemensamma infrastrukturen när det gäller leveranssäkerhet och kvalitet. En utveckling av informationsförsörj- ningen i alla dessa avseenden förutsätter att ett antal säkerhetsproblem löses. Dessutom har såväl privata som statliga aktörer likartade problem och behov i den dagliga verksamheten, vilket också kan ligga till grund för utbyte av praktiska erfarenheter.</P> <P class="p516 ft38">Näringslivet har även en betydelsefull roll som den största äga- ren och förvaltaren av samhällsviktig informationsinfrastruktur.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">243</P> </DIV> </DIV> <DIV id="page_244"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p338 ft10">Upphandling av <NOBR>it-relaterade</NOBR> tjänster blir allt vanligare och får där- med också en framskjuten plats i informationssäkerhetsarbetet.</P> <P class="p225 ft13">Tillgången till och användningen av olika typer av standarder är av utomordentligt stor betydelse inom informationstekniken och det är <NOBR>it-leverantörer</NOBR> som i hög grad har svarat för krav och stan- darder i de system som används i offentlig förvaltning. Vidare finns det standarder så som exempelvis <NOBR>SS-ISO/IEC</NOBR> 27001 Lednings- system för informationssäkerhet som ligger till grund för systema- tiskt informationssäkerhetsarbete hos såväl den privata som den offentliga sektorn. Utredningen konstaterar att standardisering vid sidan av reglering är ett kraftfullt styrmedel när det gäller inform- ationssäkerhetsarbetet som flera aktörer har ett delat intresse av.</P> <P class="p63 ft16">Samverkan mellan privat och offentlig sektor genom dialog</P> <P class="p159 ft37">Det är viktigt att ta till vara det engagemang för informations- och cybersäkerhetsfrågor som redan finns inom näringslivet, i synner- het den del av näringslivet som bedriver samhällskritisk verksam- het, och att öka medvetenheten kring konsekvenserna av <NOBR>it-inci-</NOBR> denter. Hoten mot elektroniska kommunikationsnät och <NOBR>it-system</NOBR> är mångfacetterade, komplexa, svårdefinierade och föränderliga (jfr avsnittet om hot och risker 4.4). Det är också så att informations- säkerheten inte är ett problem som kan lösas en gång för alla, utan arbetet med att värna om informationssäkerheten i samhället måste ske i en kontinuerlig process. Eftersom den tekniska utvecklingen i huvudsak finns på marknaden så är det också där ifrån man kan förvänta sig säkerhetslösningar. Staten får här en viktig roll som tydlig kravställare på informationssäkerhet i olika offentligt finan- sierade verksamheter. Detta ställer samtidigt krav på offentliga sektorn att kunna nivåanpassa tillgänglighet och skydd. Det borde därför inom flera olika sektorer utvecklas samverkan genom konti- nuerlig dialog mellan privata och offentliga aktörer.</P> <P class="p517 ft9">Utredningen anser att regeringen med stöd av det föreslagna myndighetsrådet bör inleda en dialog med centrala näringslivsorga- nisationer och andra intresseorganisationer. Den överordnade mål- sättningen med en dialog är att stärka informationssäkerheten i samhället, särskilt avseende de delar som berör den kritiska infra- strukturen. Alla ägare eller leverantörer av komponenter till kritisk</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">244</P> </DIV> </DIV> <DIV id="page_245"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p283 ft9">infrastruktur i offentlig och privat sektor bör bjudas in till dialog, liksom aktörer som, utan att vara ägare, är kravställare på nationell, regional och lokal nivå. Ett övergripande syfte med dialogen är att skapa förståelse och beredskap för de krav staten kan komma att ställa i anslutning till upphandlingar, och att det från statens sida skapas en motsvarande förståelse för exempelvis standardiserings- och certifieringsarbetet i näringslivet. Utredningen vill betona att förslaget inte syftar till att ersätta existerande samverkansforum utan att fördjupa den dialog som redan finns.</P> <P class="p69 ft16">Förslag på dialogområden</P> <P class="p518 ft8">Ett dialogområde skulle kunna handla om hur det skapas <NOBR>it-lös-</NOBR> ningar som uppfyller olika behov av tillgänglighet och skydd, och som även är kostnadseffektiva.</P> <P class="p14 ft8">Att tydliggöra hur säkra och kostnadseffektiva <NOBR>it-lösningar</NOBR> kan tas fram för olika centrala <NOBR>it-komponenter</NOBR> i samhällsviktig verk- samhet är av största vikt för att samhällsviktig verksamhet ska kunna motstå olika former av störningar. Detta är en central del av en långsiktig satsning på informationssäkerhet. Delar av arbetet behöver ske i internationella samverkansforum men även i dialog med näringslivet.</P> <P class="p59 ft13">Utredningen återkommer i senare avsnitt till behovet av att regeringen även inleder dialog med näringslivet i frågor om svensk kryptoindustri och kryptologisk kompetens (se avsnitt 9.4.2) och även kompetensförsörjningen inom området (se avsnitt 9.8.2).</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">245</P> </DIV> </DIV> <DIV id="page_246"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323246x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p339 ft33"><SPAN class="ft33">9.4</SPAN><SPAN class="ft48">Säkrare kommunikation i staten</SPAN></P> <P class="p436 ft16"><SPAN class="ft16">9.4.1</SPAN><SPAN class="ft63">Statliga nätverk</SPAN></P> <P class="p488 ft16">Förslag:</P> <P class="p519 ft8"><SPAN class="ft10">1)</SPAN><SPAN class="ft94">Samtliga myndigheter som anges i bilagan till förordningen (2006:942) om krisberedskap och höjd beredskap ansluts till kommunikationssystemet Swedish Government Secure Intranet (SGSI).</SPAN></P> <P class="p519 ft8"><SPAN class="ft10">2)</SPAN><SPAN class="ft94">Under utbyggnaden av SGSI bör lämpliga åtgärder vidtas för att utveckla sensorteknik.</SPAN></P> <P class="p520 ft8"><SPAN class="ft10">3)</SPAN><SPAN class="ft94">Statliga myndigheter ska använda samma synkroniserade tidsskala för de tidsangivelser de använder i sina </SPAN><NOBR>it-system.</NOBR></P> <P class="p521 ft16">Statens behov av skyddade och tillgängliga kommunikationer</P> <P class="p254 ft8">I takt med att samhället blir alltmer beroende av modern teknik, minskar toleransen för avbrott och andra störningar. Informations- och kommunikationssystem är en viktig och avgörande resurs inom i stort sett all samhällsverksamhet. Efter hand som <NOBR>e-förvalt-</NOBR> ningen etableras får många offentliga aktörer dessutom allt större behov av att elektroniskt förmedla stora mängder information sinsemellan. Detta ökar bl.a. kraven på tillgängliga och skyddade kommunikationsinfrastrukturer.</P> <P class="p259 ft8">Hoten mot den globala, digitala informations- och kommuni- kationsinfrastrukturen representerar stora ekonomiska och säker- hetsmässiga utmaningar för samhället. Samhällets beroende av denna infrastruktur innebär att det ytterst också finns en säker- hetspolitisk dimension.</P> <P class="p103 ft13">Kris- och krigsviktig verksamhet och kritisk infrastruktur måste kunna skyddas för att kunna utveckla planeringen för att lösa upp- gifter inför och under höjd beredskap. Civila aktörer behöver ha en förmåga att dela skyddsvärd information t.ex. då de deltar i arbetet med gemensamma planeringsfrågor, deltar i övningsverksamhet eller deltar i beslutsfattande. Information som är väsentlig inför och under höjd beredskap ska identifieras, klassas och därefter skyddas utifrån informationssäkerhetens aspekter konfidentialitet, riktighet, tillgänglighet och spårbarhet. En viktig fråga är att tillgo-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">246</P> </DIV> </DIV> <DIV id="page_247"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p145 ft8">dose tillgängliga och skyddade kommunikationslösningar som möter kraven för att kunna dela skyddsvärd information eller in- formation som omfattas av sekretess.</P> <P class="p148 ft9">Flera länder har skapat övergripande strukturer för koordinering och samverkan i syfte att säkerställa kommunikationen inom den offentliga sektorn, med samhällsövergripande samverkansfunktioner och nya gemensamma lösningar. Flera länder redovisar också bedömningar om att de totala kostnaderna för den offentliga sektorns <NOBR>it-behov</NOBR> kan minskas tack vare de vidtagna åtgärderna. Det är rimligt att anta att motsvarande effekt skulle kunna uppnås även i Sverige. Att inte agera gemensamt inom offentlig sektor leder till att nuvarande fragmenterade arbetssätt cementeras. Riskerna blir svåra att överblicka. Småskaliga lösningar blir divergerande och kostnads- drivande vilket inte ligger i linje med den digitala agendan som syftar till en effektiv användning av offentliga <NOBR>it-resurser.</NOBR></P> <P class="p148 ft13">I Sverige finns i dag ett stort behov av myndighetsgemensamma infrastrukturer för säker kommunikation som ett verktyg för svenska myndigheters informationshantering. Merparten av myn- digheternas informationshantering sker i dag via publika system. Stora delar av den information som hanteras, såväl i form av data- trafik som tal, är skyddsvärd. Den publika infrastrukturen som används omfattas inte av något kontrollerat eller dimensionerat säkerhetsskydd.</P> <P class="p245 ft8">Dessa bristande möjligheter till att på ett säkert sätt dela och bereda skyddsvärd information leder till såväl effektivitets- som säkerhetsbrister för svenska myndigheter. Problemet är i dag inte avgränsat till kommunikation mellan myndigheter utan omfattar, delvis som en följd av ökad mobilitet, även myndigheters interna verksamhet.</P> <P class="p148 ft8">Ett väl utbyggt och säkert myndighetssamband skulle medföra stora vinster med avseende på myndigheters informations- och cybersäkerhet genom att information kan sändas via skyddad infra- struktur under myndigheternas kontroll. Verksamhetsnytta skulle levereras genom att ge möjligheter till realtidsberedning och del- givning, mellan och inom myndigheter, av skyddsvärd information som i dag enbart kan hanteras via fysisk förmedling eller med stora hot mot informationens integritet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">247</P> </DIV> </DIV> <DIV id="page_248"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p522 ft16">Utvecklade kommunikationssystem för säkrare kommunikation i staten</P> <P class="p342 ft13">Staten äger i dag fysisk kommunikationsinfrastruktur såsom i exempelvis Teracom AB, Trafikverket, Affärsverket svenska kraft- nät och MSB genom <NOBR>Rakel-systemet.</NOBR> Detta är resurser som är möj- liga att kontrollera och strategiskt viktiga för vissa myndigheters verksamhet. Försvarsmaktens myndigheters behov av att kunna kommunicera säkert tillgodoses exempelvis av Försvarets Telenät (FTN). Ett praktiskt möjligt och kostnadseffektivt sätt att skapa en myndighetsgemensam infrastruktur för andra myndigheters behov är att bygga på redan etablerade strukturer. Swedish Government Secure Intranet (SGSI) är ett samarbete mellan anslutna myndigheter där MSB är systemägare och utgörs av ett kommunikationssystem som ger säker kommunikation mellan myndigheter i Sverige och i Europa. SGSI är logiskt skilt från det publikt tillgängliga internet och trafiken är krypterad (med nation- ellt godkända kryptosystem) samt utformat för att klara höga krav på tillgänglighet och driftsäkerhet. Inom Sverige använder myndig- heter SGSI som ett tillräckligt säkert system för utbyte av känslig information och minskar därmed risker kopplat till att skicka in- formation över internet. SGSI används bland annat för att få åt- komst till olika databaser hos de olika anslutna myndigheterna och förutom vanlig datatrafik ingår även tjänster som skyddad video- konferens och skyddad <NOBR>e-post.</NOBR> SGSI är också anslutet till EU:s säkerhetsskyddade kommunikationsnät sTesta (secure Trans European Services for Telematics between Administrations) vilket medger kommunikation med andra <NOBR>EU-stater</NOBR> och myndigheter. sTESTA uppfyller <NOBR>EU-rådets</NOBR> och <NOBR>EU-kommissionens</NOBR> föreskrifter för hantering av information klassificerad som EU RESTRICTED. Myndigheter som vill kommunicera med <NOBR>EU-administrationen</NOBR> eller med en annan medlemsstat genom sTESTA måste vara an- slutna till SGSI. SGSI är Sveriges enda system med koppling till sTESTA och uppfyller <NOBR>EU-rådets</NOBR> och <NOBR>EU-kommissionens</NOBR> före- skrifter för hantering av information.</P> <P class="p446 ft8">För att skapa en myndighetsgemensam infrastruktur för elektroniska kommunikationer behöver SGSI utvecklas. I dag är det frivilligt för offentliga aktörer att ansluta sig till SGSI och kommunikationssystemet är inte baserat på statligt ägd fysisk</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">248</P> </DIV> </DIV> <DIV id="page_249"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p203 ft8">infrastruktur. Till detta kommer att anslutna myndigheter inte heller alltid använder alla de tjänster som tillhandahålls via SGSI. Exempelvis skickas inte <NOBR>e-post</NOBR> per automatik över SGSI även om möjligheten finns (s.k. mail relay).</P> <P class="p148 ft8">I ett första steg bör samtliga myndigheter som pekas ut i bilagan till förordning (2006:942) om krisberedskap och höjd beredskap (KBF) anslutas till SGSI. De myndigheter som särskilt pekas ut i KBF har en särskild roll i krishanteringssystemet och behöver kunna samverka även under ansträngda förhållanden. Dessa myn- digheter har ett utvecklat säkerhetsmedvetande och arbetar syste- matiskt med informationssäkerhet.</P> <P class="p148 ft9">Vid utbyggnaden av SGSI bör det också övervägas att utveckla ett fysiskt nät som i huvudsak är baserat på statligt ägd infrastruk- tur. Detta utesluter dock inte andra alternativ när staten ska lösa behovet av säker kommunikation. Val av infrastrukturlösning bör enligt utredningen föregås av en behovsanalys, följd av en analys av hot och risker. Utifrån denna kan designkrav och krav på tekniska lösningar, robusthet och skyddsåtgärder utarbetas. Sannolikt kan mer än ett nät behövas för att uppfylla behoven och samtidigt upp- rätthålla tillräcklig säkerhetsnivå. Analysen kan också leda till insikt om nya hot som det finns skäl att beakta särskilt.</P> <P class="p204 ft9">Som tidigare nämnts äger staten i dag fysisk kommunikations- infrastruktur såsom i exempelvis Teracom AB, Trafikverket, Affärsverket svenska kraftnät och MSB genom Rakel. Detta är resurser som är möjliga att kontrollera och strategiskt viktiga för vissa myndigheters verksamhet. Utredningen om effektivare användning av statens bredbandsinfrastruktur (N 2014:05) ser för närvarande över möjligheterna att effektivisera användningen av de statligt ägda bredbandsnäten genom förbättrad samordning mellan de statliga aktörerna. Bland annat ingår det i uppdraget att analy- sera om, och i så fall på vilket sätt, en förbättrad samordning mellan de statliga aktörernas bredbandsverksamheter kan bidra till ökad säkerhet och robusthet i de statliga aktörernas kommunikationsnät. Ett utvecklat SGSI som i huvudsak baseras på en statligt ägd infra- struktur skulle med fördel kunna användas som fundament till ett statligt mobilt bredbandsnät för samhällsviktig verksamhet.</P> <P class="p204 ft13">Vidare kan det tillföras ett antal mer tekniska lösningar för att öka skyddet i en myndighetsgemensam kommunikationsinfra- struktur. Här kan bl. a. nämnas robusta domännamnsservrar DNS,</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">249</P> </DIV> </DIV> <DIV id="page_250"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p338 ft8">DNSSEC och skyddad <NOBR>e-post,</NOBR> vilket ger högre tillgänglighet och även möjliggör insynsskyddad kommunikation mellan deltagande organisationer. Det försvårar exempelvis kartläggning av enskilda myndigheter och ger möjligheten att prioritera trafik. Sedan bör det även tillses att myndighetsnätet har gemensamma utgångar mot internet med tekniska skyddsmekanismer. Motsvarande lösning är redan införd i Tyskland och obligatorisk för alla anslutna myndig- heter. Till detta kommer även en gemensam tidssynkronisering för spårbar tid i loggar, <NOBR>e-post</NOBR> etc. Dessa tekniska förutsättningar ger stöd för bibehållen nationell trafik även vid fragmentering och störningar i omgivande internet.</P> <P class="p72 ft8">Ytterligare viktiga förutsättningar för att stödja arbetet med en statlig kommunikationsinfrastruktur är sensorer till stöd för it- incidenthantering, obligatorisk <NOBR>it-incidentrapportering</NOBR> och läges- beskrivningar, se vidare nedan. I en skyddad kommunikations- infrastruktur är det också centralt att använda nationellt godkända kryptosystem.</P> <P class="p63 ft16">Sensorsystem</P> <P class="p340 ft9"><NOBR>It-relaterade</NOBR> hot mot svenska intressen och organisationer har ut- vecklats och blivit mer sofistikerade. Detta skapar ökande behov av en förmåga att identifiera och hantera <NOBR>it-säkerhetsincidenter</NOBR> samt skapa en rättvisande nationell lägesbild. Av denna anledning ökar nu behovet av att främja sådana sensornätverk som har till syfte att stödja samhällets och organisationernas informationssäkerhet. Sensorsystem beskrivs i avsnitt 7.5.2. Sensornätverk kan ge underlag för att skapa en lägesbild, generera statistik och rapporter samt bidra till att höja medvetandet angående <NOBR>it-säkerhet</NOBR> hos anslutna organisationer.</P> <P class="p226 ft9">Sverige, till skillnad från sina grannländer Norge, Finland och Danmark saknar i dag nationella sensorsystem kopplade till ansvariga myndigheter. Denna brist på nationella sensorsystem i Sverige innebär med stor sannolikhet att ett stort antal allvarliga <NOBR>it-incidenter</NOBR> aldrig upptäcks, eller upptäcks för sent. De legala frågorna med koppling till sensorsystem och dess utformning samt användning kräver i vissa delar närmare analys. Exempelvis, ett sensorsystem kan vara av avgörande betydelse i arbetet med att upptäcka intrång där angriparen kommer åt känslig information genom att få användare i en</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">250</P> </DIV> </DIV> <DIV id="page_251"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p283 ft9">organisation att ladda ned skadlig kod som automatiskt läser av och skickar ut informationen till en mottagare utanför organisationen. Sensorsystemet upptäcker denna attack genom att identifiera den mottagande <NOBR>IP-adressen</NOBR> som en sådan <NOBR>IP-adress</NOBR> som tidigare använts just i detta syfte. Insamling och hantering av <NOBR>IP-adresser</NOBR> inom ramen för sensorsystemet är därför centralt för att upptäcka denna typ av angrepp. Genom att <NOBR>IP-adresser</NOBR> kan vara personuppgifter så behöver personuppgiftslagens regler om ändamål, informationsplikt med mera i förhållande till denna typ av uppgifter beaktas. En annan rättslig aspekt som det är oklarheter kring är möjligheten för en myndighet att säkerställa att insamlad information omgärdas av sekretesskydd eller inte. Det finns därför skäl att analysera följande rättsliga frågor:</P> <P class="p106 ft8"><SPAN class="ft12">–</SPAN><SPAN class="ft55">När är det ur ett personuppgiftsskyddsperspektiv acceptabelt att med hjälp av ett sensorsystem samla in och behandla person- uppgifter för ett informationssäkerhetsändamål?</SPAN></P> <P class="p523 ft8"><SPAN class="ft12">–</SPAN><SPAN class="ft55">Hur bör informationsplikten i 23 § personuppgiftslagen hante- ras vid insamling av nya skadliga </SPAN><NOBR>IP-adresser?</NOBR></P> <P class="p188 ft9"><SPAN class="ft12">–</SPAN><SPAN class="ft96">Vilka möjligheter finns det att med stöd av sekretessregler skydda information som samlats in med stöd av ett sensornätverk?</SPAN></P> <P class="p67 ft16">Spårbar tid</P> <P class="p210 ft8">En okomplicerad och allmänt tillgänglig spårbar nationell tidsskala är en viktig del i arbetet med att skapa tillit till <NOBR>it-samhället</NOBR> – framför allt när vi talar om samhällsviktiga funktioner och <NOBR>e-för-</NOBR> valtning. Korrekt och spårbar tid är också en förutsättning för ett högteknologiskt samhälles förmåga att fungera såväl till vardags som vid svåra påfrestningar. Detta leder till behovet av ett nation- ellt uthålligt och robust system för tid- och frekvenssynkronisering för att minska Sveriges beroende av satellitsystem som GNSS, eller andra för störningar känsliga radiobaserade system för sådan syn- kronisering eftersom dessa system i huvudsak kontrolleras av en annan nation.</P> <P class="p257 ft38">Spårbar tid kan i dag hämtas via internet från atomur placerade vid de större nationella knutpunkterna för internet. Genom att utnyttja den befintliga infrastrukturen för internet för överföring</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">251</P> </DIV> </DIV> <DIV id="page_252"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p462 ft10">av tid och frekvens parallellt med ordinarie trafik på nätet ökar robustheten och beroendet av radiobaserade metoder minskar.</P> <P class="p144 ft13">Ur ett administrativt perspektiv bör krav på noggrannhet för tid byggas in redan från början när regler formuleras för olika typer av system. Det skulle spara mycket resurser och dessutom stödja rättssäkerheten. Inom många administrativa tillämpningsområden är det inte självklart uppenbart att korrekta tidsstämplar är väsent- liga för en effektiv hantering av ärenden. Det är ofta först vid have- rier, vid överklaganden eller liknande händelser som behovet av känd tidsnoggrannhet kan bli uppenbar och detta skapar stora kostnader som skulle kunna undvikas.</P> <P class="p284 ft8">Behovet av spårbar tid och frekvens kan uttryckas på följande sätt:</P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Spårbar tid för juridisk nytta</SPAN></P> <P class="p40 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Spårbar tid i samband med fel och funktionsstörningar</SPAN></P> <P class="p169 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Spårbar frekvens (takt) i kommunikation med andra system- komponenter</SPAN></P> <P class="p169 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">Spårbar tid för att säkerställa ansvar i affärsrelationer eller rätts- processer som vid felaktig tid kan äventyra rättssäkerheten i samhället</SPAN></P> <P class="p524 ft8">En hög grad av automatisering är också starkt kopplat till tid och frekvens. Det medför att en del av säkerhetsarbetet i organisationer och företag alltmer inriktas på metoder för att förhindra störningar och manipulering av tid och frekvens vilket utgör ytterligare en aspekt.</P> <P class="p153 ft8">Viktiga samhällsfunktioner har med åren kommit att bli mycket beroende av tillgång till spårbar tid- och frekvenssynkronisering. Flera av dessa funktioner skulle få omfattande problem om till- gången till sådan tid begränsades, vissa skulle sannolikt avstanna helt. Listan över sådana system går att göra lång. Utredningen lyf- ter här bara fram några få exempel för att ge en bild av behoven och vilken bredd de spänner över:</P> <P class="p354 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Riksbankens transaktionshanteringssystem för tidsstämpling av transaktioner</SPAN></P> <P class="p45 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Banverkets signalsystem för trafikplanering och säkerhetsarbete</SPAN></P> </DIV> <DIV id="id_3"> <P class="p4 ft20">252</P> </DIV> </DIV> <DIV id="page_253"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p115 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Luftfartsverket flygledningssystem för trafikplanering och säkerhetsarbete, även internationell luftfart</SPAN></P> <P class="p106 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Gemensamt radiokommunikationssystem för skydd och säker- het, Rakel, för dess tekniska funktion</SPAN></P> <P class="p188 ft12"><SPAN class="ft41"></SPAN><SPAN class="ft86">Svenska kraftnäts och andra nätbolags driftövervakningssystem för att övervaka och styra Sveriges eldistribution</SPAN></P> <P class="p189 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">SWEPOS – Lantmäteriets referenssystem för positionering och som används för mark- och anläggningsarbeten</SPAN></P> <P class="p187 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Storstockholms lokaltrafik och vägtullar för trafikplanering, säkerhetsarbete men också betalningssystem med tidsgränser för olika taxor</SPAN></P> <P class="p45 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Basstationer för mobiltelefoni för teknisk funktion</SPAN></P> <P class="p106 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">Gatubelysningsautomatik för styrning, trafiksäkerhet men också energihushållning</SPAN></P> <P class="p323 ft8">Denna problematik har även belysts i en rapport från MSB publice- rad 2014, <SPAN class="ft35">Vikten av var och när – Samhällets beroende av korrekt tids- och positionsangivelse</SPAN>.</P> <P class="p15 ft9">Frekvensnoggrannheten för taktgivning i sådana nät är specifi- cerad i olika standarder. När det gäller noggrannheten i tid för olika tillämpningar finns inte motsvarande standarder och som regel avstannar inte en kommunikation eller transaktion omedelbart även om en tidstämpel är felaktig. Den stora olägenheten och de stora kostnaderna uppstår i stället förmodligen främst vid incidenter eller driftstörningar då olika tidsstämplar måste justeras för att kunna relateras till varandra. Om det i en framtid handlar om mycket stora datamängder, om miljontals datafiler per sekund är den enda rimliga lösningen att ha tillräckligt korrekt tid från början.</P> <P class="p59 ft9">Mot bakgrund av att tid och frekvens eller frekvenssynkronisering är extremt viktig i dagens samhälle föreslår utredningen att statliga myndigheter ska för sina tidsangivelser använda samma tidsskala samt ett uthålligt och robust system för tid- och frekvenssynkronisering.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">253</P> </DIV> </DIV> <DIV id="page_254"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323254x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p339 ft16"><SPAN class="ft16">9.4.2</SPAN><SPAN class="ft63">Säkra kryptografiska funktioner</SPAN></P> <P class="p525 ft9"><SPAN class="ft39">Bedömning och förslag: </SPAN>Frågan om säkra kryptografiska funktioner är mycket angelägen. På basis av den av Myndigheten för samhällsskydd och beredskap, Försvarets radioanstalt, För- svarets materielverk och Försvarsmakten föreslagna nationella strategin med åtgärdsplan för säkra kryptografiska funktioner bör regeringen ge de fyra myndigheterna i uppdrag utveckla processen för säkra kryptografiska funktioner.</P> <P class="p526 ft13">Normalt överförs information över näten i klartext. Det är en flexibel lösning, som samtidigt gör det möjligt att till exempel av- lyssna kommunikation, sända information i andras namn samt för- vanska information. En metod för att skydda information är att använda kryptering. En säker nätkommunikation kräver flera olika sorters kryptografiska funktioner på flera olika nivåer. Kryptogra- fiska funktioner kan användas för att uppnå konfidentialitet genom att endast den som har tillgång till ett visst kryptosystem och använd kryptonyckel har möjlighet att tyda eller förändra den information som skyddas av systemet. I många fall används kryp- tografiska funktioner enbart för att skapa elektroniska signaturer och för att identifiera komponenter och användare på ett säkert sätt. Genom elektroniska signaturer kan en avsändare av elektro- nisk information med olika grad av visshet identifieras och för- vanskning av information, utan att detta upptäcks, försvåras.</P> <P class="p110 ft8">I en skyddad kommunikationsinfrastruktur är det viktigt att det finns möjlighet att använda nationellt godkända kryptosystem om kraven på skydd motiverar detta. Arbetet med att skapa en skyddad kommunikationsinfrastruktur bör därför innefatta utveckling av nationellt godkända kryptosystem för ändamålet. I följande avsnitt kommer utredningen in på frågan om hur det kan utvecklas en pro- cess för säkra kryptografiska funktioner.</P> <P class="p63 ft16">Åtgärdsplan för säkra kryptografiska funktioner</P> <P class="p75 ft9">Informations- och kommunikationssystem är viktiga och strate- giska resurser för alla organisationer, både internt och i samverkan med andra aktörer. För att skydda informationen i dessa system</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">254</P> </DIV> </DIV> <DIV id="page_255"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p260 ft9">kan kryptering användas. För staten är det särskilt viktigt att skydda hemlig information som rör rikets säkerhet eller utrikes- sekretess. Men samhället i stort har på senare år blivit alltmer it- beroende, ett beroende som i dag omfattar alla samhällssektorer. Andelen <NOBR>it-relaterade</NOBR> hot och risker mot kritisk infrastruktur och samhällsviktiga verksamheter ökar i omfattning. Samhället har i dag därför ett starkt och ökande behov av att skydda sin information i olika nivåer oavsett om informationen omfattas av sekretess eller inte. Att arbeta med denna typ av grundskydd innebär dock att det skapas en helt annan basplatta vad avser skydd för rikets säkerhet.</P> <P class="p153 ft8">Samhällets förmåga till hantering och överföring av information i elektroniska kommunikationsnät och <NOBR>it-system,</NOBR> och Sveriges förmåga att upprätthålla säkerhet och integritet i samhällsviktig it- infrastruktur är beroende av vår kryptoförmåga.</P> <P class="p148 ft13">Genom ett myndighetsgemensamt projekt mellan MSB, Försva- rets radioanstalt (FRA), Försvarsmakten (FM) och Försvarets materielverk (FMV) har en rapport med förslag till nationell stra- tegi och åtgärdsplan för säkra kryptografiska funktioner tagits fram och överlämnats till utredningen. Rapporten finns som bilaga 4 till betänkandet och innehåller förslag till en nationell strategi för kryptering. Rapporten innehåller även ett förslag till åtgärdsplan för hantering och överföring av information i elektroniska kom- munikationsnät och <NOBR>it-system</NOBR> med hjälp av kryptering. Vidare föreslås övergripande mål för samhällets informationssäkerhets- arbete med avseende på användning av kryptografi. Det beskrivs även hur Sverige ska upprätthålla säkerhet och integritet i sam- hällsviktig <NOBR>it-infrastruktur</NOBR> med hjälp av kryptografiska funktioner.</P> <P class="p204 ft8">Det är utredningens bedömning att den modell och de förslag som beskrivs i rapporten skulle kunna möta behovet av säkra kryptografiska funktioner på ett nytt sätt. Utredningen noterar att den samlade kompetensen på området står bakom förslagen och att rapporten utgör ett mycket gott underlag för regeringen att fatta beslut om ett gemensamt uppdrag till aktuella myndigheter att utveckla processen säkra kryptografiska funktioner. Frågan är mycket angelägen bl.a. eftersom säkra kryptolösningar är en nöd- vändig och fundamental faktor för att kunna etablera säker kom- munikation och säkra <NOBR>it-lösningar</NOBR> i staten.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">255</P> </DIV> </DIV> <DIV id="page_256"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p527 ft16">Svensk kryptoindustri och kryptologisk kompetens som dialogområde</P> <P class="p46 ft13">Behovet av nationellt godkända kryptolösningar är stort, såväl för att skydda konfidentiell eller sekretessbelagd information. För- mågan att ta fram sådana system finns i dag i Sverige genom den samlade kunskap som finns hos de svenska kryptotillverkarna och de svenska myndigheter som bidrar med kryptologiska kunskaper vid utveckling och granskning av systemen, främst FRA och FM.</P> <P class="p271 ft8">För att nå höga assuransnivåer för de nationella system som skyddar rikets säkerhet eller utrikessekretess måste kunskapen om systemlösningarna omges av sträng sekretess, något som endast kan upprätthållas med nationellt framtagna lösningar. Svenska kryptoprodukter håller vid internationell jämförelse en mycket hög nivå, som det tar decennier att nå. Det är enligt utredningen ytterst viktigt att värna om denna förmåga och förstärka förutsättningarna för en nationell marknad för krypto.</P> <P class="p411 ft8">Av nämnda skäl menar utredningen även svensk kryptoindustri och kryptologisk kompetens bör kunna bli föremål för en dialog av det slag som föreslås i avsnitt 9.3.2 mellan det allmänna och näringslivet. Dialogen bör vara inriktad mot att finna möjligheter att slå vakt om svenska kryptoprodukter och kompetensen på om- rådet.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">256</P> </DIV> </DIV> <DIV id="page_257"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323257x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p249 ft33"><SPAN class="ft33">9.5</SPAN><SPAN class="ft48">Incidentrapportering</SPAN></P> <P class="p528 ft16">Förslag:</P> <P class="p529 ft60"><SPAN class="ft103">1)</SPAN><SPAN class="ft94">Det </SPAN>inrättas system för obligatorisk <NOBR>it-incidentrapportering</NOBR> för samtliga statliga myndigheter. Detta anpassas till innehållet i EU- direktivet om nät- och informationssäkerhet <NOBR>(NIS-direktivet).</NOBR></P> <P class="p530 ft13"><SPAN class="ft10">2)</SPAN><SPAN class="ft104">I syfte att förbereda införandet av detta system för obligatorisk </SPAN><NOBR>it-incidentrapportering</NOBR> får MSB i uppdrag att utfärda verkställighetsföreskrifter om dess närmare utformning.</P> <P class="p531 ft8"><SPAN class="ft10">3)</SPAN><SPAN class="ft94">MSB bör ges i uppdrag att förse de statliga myndigheterna med information om bl.a. trender och utveckling avseende it- incidenter.</SPAN></P> <P class="p532 ft16"><SPAN class="ft16">9.5.1</SPAN><SPAN class="ft63">Informationssäkerhetsrelaterade lägesbeskrivningar</SPAN></P> <P class="p210 ft13">För att arbetet med informationssäkerhet inom statlig förvaltning ska vara effektivt krävs kunskap om såväl hot och risker som vilka hot som förverkligas och vilka skyddsåtgärder myndigheterna vidtar. Behovet av samlade lägesbeskrivningar sträcker sig över sektorsgränser och ansvarsnivåer, nationellt och i vissa fall även inom EU och internationellt (jfr prop. 2007/08:92).</P> <P class="p15 ft37">Vilka hot eller risker som realiseras mot de myndigheter som inte omfattas av säkerhetsskyddslagstiftningen eller vilka skyddsåt- gärder dessa myndigheter vidtar finns det ingen myndighet som kontrollerar. Riksrevisionen har i rapporten <SPAN class="ft62">Informationssäkerheten i den civila statsförvaltningen </SPAN>(RiR 2014:23) konstaterat att kun- skapsläget för informationssäkerheten i statsförvaltningen är oklart. Varken regeringen eller någon av stöd- och tillsynsmyndig- heterna har en kontinuerlig och systematiskt underbyggd lägesbild över den statliga förvaltningens informationssäkerhet, vilket är en förutsättning för att kunna säkerställa att man vidtar rätt åtgärder. I syfte att få en förbättrad och samlad nationell lägesuppfattning över <NOBR>it-incidenter</NOBR> finns det enligt utredningen skäl att vidta åtgär- der som kan ge sådan information.</P> <P class="p533 ft37">Lägesbeskrivningar sammanställs av olika uppgifter för att skapa en bild över vad som har hänt, händer eller kommer att kunna hända. Uppgifter kan exempelvis inhämtas från öppna källor och från sektorsmyndigheter samt näringslivet. Under utredningens</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">257</P> </DIV> </DIV> <DIV id="page_258"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">arbete har det framkommit att det finns ett behov av att utveckla system och metoder som ger underlag för lägesbeskrivningar. Ett system för obligatorisk <NOBR>it-incidentrapportering</NOBR> respektive använd- ning av sensorteknik skulle bidra till att stärka förmågan att före- bygga och hantera <NOBR>it-incidenter.</NOBR> Utredningen berör i följande av- snitt förutsättningarna för att införa obligatorisk <NOBR>it-incidentrap-</NOBR> portering.</P> <P class="p103 ft37">Upprättandet av en lägesbeskrivning på central nivå förutsätter även att myndigheterna lämnar en redovisning om informations- säkerhet i risk- och sårbarhetsanalyserna. Riksrevisionen har i nämnd rapport pekat på att bristerna är så omfattande att det inte går att ställa samman en gemensam bild av samlad förmåga att kunna motstå och hantera kriser inom informationssäkerhetsom- rådet. Som Riksrevisionen konstaterat leder detta i sin tur till att det blir svårt att analysera vilka brister som finns och därmed kunna göra en grundlig riskbedömning. Problemet har uppmärk- sammats av regeringen och MSB har fått i uppdrag att analysera och vidareutveckla sitt arbete med risk- och sårbarhetsanalyser och förmågebedömningar. Utredningen menar att vid sidan av MSB:s insatser skulle förslaget om att samla regleringen kring inform- ationssäkerhet i en förordning kunna tydliggöra kravet på risk- och sårbarhetsanalyser (se avsnitt 9.2.3). Detta skulle i förlängningen bidra till att ge en bra och systematiskt underbyggd lägesbild.</P> <P class="p534 ft38">Behovet av lägesbeskrivningar skiftar för olika myndigheter och för regeringen. De lägesbeskrivningar som behövs som underlag för operativa insatser kan behöva vara detaljerade. På den nationella nivån behövs i stället en mer övergripande beskrivning för att stra- tegiskt inrikta och samordna övergripande resurser.</P> <P class="p535 ft16"><SPAN class="ft16">9.5.2</SPAN><SPAN class="ft63">Obligatorisk </SPAN><NOBR>it-incidentrapportering</NOBR></P> <P class="p383 ft8">Regeringen har vid ett flertal tillfällen i propositioner och skrivelser uttalat behovet av en funktion för <NOBR>it-incidentrapportering.</NOBR> Så skedde i 2002 års proposition om samhällets säkerhet och bered- skap (prop. 2001/02:158) då ett nationellt ”rikscentra” för <NOBR>it-inci-</NOBR> dentrapportering inrättades vid PTS under namnet Sitic. Denna funktion är numera benämnd <NOBR>CERT-SE</NOBR> och överförd till MSB, se tidigare avsnitt 6.1.1.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">258</P> </DIV> </DIV> <DIV id="page_259"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p429 ft13">I prop. 2003/03:93 s. 78 om <NOBR>it-säkerhet</NOBR> och sekretess fastslogs vikten av att myndigheter och organisationer rapporterade in it- incidenter för att Sitic skulle kunna fullgöra sitt uppdrag. I propo- sitionen <SPAN class="ft34">Från </SPAN><NOBR><SPAN class="ft34">IT-politik</SPAN></NOBR><SPAN class="ft34"> för samhället till politik för </SPAN><NOBR><SPAN class="ft34">IT-samhället</SPAN></NOBR></P> <P class="p239 ft8">(prop. 2004/05:175) konstaterade regeringen att Sitics viktigaste uppgift kommit att bli omvärldsbevakning och informationssprid- ning, medan endast ett fåtal sårbarheter blivit upptäckta genom incidentrapportering. Genom att sekretesslagen hade ändrats så att möjligheten att sekretessbelägga incidentrapporter blivit större och det fanns en förhoppning om att frekvensen för inrapporteringen skulle öka.</P> <P class="p148 ft62"><SPAN class="ft37">I proposition 2007/08:92 </SPAN>Stärkt krisberedskap – för säkerhets skull <SPAN class="ft37">skriver regeringen följande: ”En samlad lägesbild utgör grunden för att aktörerna i krisberedskapssystemet ska kunna genomföra lämp- liga åtgärder och samverka. Förmågan att skapa samlade lägesbilder bör stärkas. Vid kriser behöver samhällets resurser samordnas och samverka för att utnyttjas på ett effektivt sätt. Det räcker därför inte att inom det egna ansvarsområdet ha en uppfattning om vad som har hänt, vilka konsekvenserna blir och vad det ställer för krav på agerande. Det krävs dessutom en uppfattning om hur andra aktörer har uppfattat krisen och vilka åtgärder de vidtar. Det egna agerandet måste sättas in i ett bredare perspektiv. Därför finns det ett behov av samlade lägesbilder och samlad lägesuppfattning som sträcker sig över sektorsgränser och ansvarsnivåer, nationellt och i vissa fall även inom EU och internationellt”.</SPAN></P> <P class="p536 ft9">År 2009 återkom regeringen i budgetpropositionen för 2010 till frågan om bristerna i systemet för inrapportering av <NOBR>it-incidenter</NOBR> och det konstaterades att rapporteringen av <NOBR>it-incidenter</NOBR> som utgör hot mot eller medför allvarliga konsekvenser för samhällsviktig verksamhet och kritisk infrastruktur i samhället behöver förbättras.</P> <P class="p148 ft9">I budgetpropositionen för 2012 anges för första gången betydel- sen av att anpassa skyddsåtgärder till hot och risker. Detta förut- satte dock enligt regeringen kännedom om hur många incidenter som inträffar och omfattningen av dessa. Sådan kunskap skulle förstärka möjligheten till ett samlat agerande vid <NOBR>it-incidenter</NOBR> där konsekvenserna bedöms bli omfattande. En obligatorisk <NOBR>it-inci-</NOBR> dentrapportering utgjorde enligt regeringen en del av det arbetet. I budgetpropositionen för 2013 upprepade regeringen betydelsen av tillgång till kunskap om hur läget är. Regeringens bedömning</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">259</P> </DIV> </DIV> <DIV id="page_260"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p199 ft8">angavs vara att information om det aktuella läget vid en allvarlig händelse är en förutsättning för att de inblandade aktörerna skulle få en ömsesidig förståelse för situationen och därmed kunna vidta samordnade åtgärder. Ett system för obligatorisk <NOBR>it-incidentrap-</NOBR> portering skulle enligt regeringen bidra till detta.</P> <P class="p238 ft8">Det finns således en tydlig politisk vilja i Sverige att genom en förstärkt <NOBR>it-funktion</NOBR> för incidentrapportering öka samhällets för- måga att förebygga och hantera incidenter som hotar eller skadar samhällsviktig verksamhet. Detta är också den inriktning som är drivande inom EU. Europeiska kommissionen överlämnade i feb- ruari 2013 direktivförslag om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen, <NOBR>NIS-direktivet</NOBR> (avsnitt 8.2.2). Där föreslås bl.a. ett system med obligatorisk <NOBR>it-incidentrapportering.</NOBR></P> <P class="p223 ft8">MSB har i tidigare nämnt underlag till regeringen (se avsnitt 7.5.3) uttryckt att en obligatorisk <NOBR>it-incidentrapportering</NOBR> är nöd- vändig för att bedriva ett effektivt arbete med informationssäkerhet i samhället. MSB har också påtalat att införandet av obligatorisk incidentrapportering skulle ge statsförvaltningen kunskap om såväl hot och risker som vilka hot som förverkligas och vilka skydds- åtgärder som vidtas. Denna information skulle ge en bra och underbyggd lägesbild, vilket är en förutsättning för att kunna säkerställa att rätt åtgärder vidtas.</P> <P class="p276 ft13">Riksrevisionen har i nämnd rapport från 2014 konstaterat att varken regeringen eller stöd- och tillsynsmyndigheterna har den fulla bilden av i vilken omfattning hot realiseras eller vilka skydds- åtgärder som myndigheterna vidtar, och att det därför saknas en nödvändig förutsättning för ett effektivt arbete med informations- säkerhet. Riksrevisionens påpekande mynnar ut i en rekommen- dation till regeringen om att införa obligatorisk incidentrapporte- ring för samtliga myndigheter. Utredningen instämmer i denna slutsats och föreslår att det inrättas ett system för <NOBR>it-incidentrap-</NOBR> portering som är anpassat till de krav <NOBR>NIS-direktivet</NOBR> kommer att ställa. Utredningen föreslår att obligatoriet regleras i förordningen för statliga myndigheters informationssäkerhet (jfr. utredningens förslag i avsnitt 9.2.3). Av förordningen bör bl.a. framgå vilka it- incidenter som behöver rapporteras. Därvid ska andra krav på rapportering beaktas. Om en hemlig uppgift kan ha röjts ska det idag enligt 10 § säkerhetsskyddsförordningen skyndsamt anmälas</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">260</P> </DIV> </DIV> <DIV id="page_261"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p260 ft13">till Säkerhetspolisen, om röjandet kan antas medföra men för rikets säkerhet som inte endast är ringa. Dessutom framgår av 13 § andra stycket samma förordning att hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten. Vidare anges i 39 § säkerhetsskyddsförordningen att Försvars- makten och Säkerhetspolisen har i uppgift att kontrollera säker- hetsskyddet inom respektive myndighets utpekade tillsynsområde. En <NOBR>it-incident</NOBR> kan allvarligt påverka säkerheten i ett <NOBR>it-system</NOBR> och därmed innebära att olika typer av åtgärder behöver vidtas, inte bara för den drabbade organisationen utan även för andra organisationer med motsvarande system. Dessutom finns ett uttalat krav på rapportering inom området. Med hänsyn tagen särskilt till Försvarsmaktens och Säkerhetspolisens utpekade uppgifter inom säkerhetsskyddet, bör enligt utredningens mening rapportering av <NOBR>it-incidenter</NOBR> med huvudsaklig koppling till sådana informationssystem i vilka hemliga uppgifter enligt offentlighets- och sekretesslagen (2009:400) behandlas i mer än ringa omfattning i första hand rapporteras till de myndigheter som utövar ett tillsynsansvar över säkerhetsskyddet i berörd verksamhet. Sådana särskilda informationssystem kan ha anordnats för att möta särskilda krav på säkerhet som ställts med stöd av säkerhetsskydds- lagen (1996:627) eller för att handha uppgifter om totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs.</P> <P class="p204 ft9">MSB är den myndighet som för närvarande ansvarar för <NOBR>it-inci-</NOBR> denthanteringen. Med hänsyn till det uppdrag som MSB enligt sin instruktion har på informationssäkerhetsområdet, se särskilt 11 a § förordningen (2008:1002) med instruktioner för Myndigheten för samhällsskydd och beredskap, så bör MSB också vara den myndig- het som fortsättningsvis tar emot de <NOBR>it-incidentrapporter</NOBR> som läm- nas från myndigheterna. Systemet bör utformas så att det säker- ställer behovet hos de brottsbekämpande myndigheterna av att kunna informera sig om misstänkta brottsliga angrepp. Med dessa utgångspunkter är det också MSB som på olika sätt arbetar vidare med inrapporterad information. Det handlar bl.a. om att bearbeta uppgifterna för att kunna ge respons till den som rapporterat in uppgifterna och att sammanställa aggregerad informationen till relevanta myndigheter, såsom exempelvis hotbildsuppdateringar. Baserat på ett utvecklat system för <NOBR>it-incidentrapportering</NOBR> kan</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">261</P> </DIV> </DIV> <DIV id="page_262"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323262x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">MSB ge regeringen, Regeringskansliet och det föreslagna myndig- hetsrådet samt de statliga myndigheterna information om bl.a. trender och utveckling avseende <NOBR>it-incidenter.</NOBR> Lägesinformation om hot- och risknivåer bör utgöra grunden för myndighetsrådets arbete för att förebygga, följa och åtgärda brister i statens inform- ationssäkerhet samt även för att kunna säkerställa att staten vidtar rätt åtgärder.</P> <P class="p72 ft8">Rapporteringsförfarandet bör konkretiseras genom verkställig- hetsföreskrifter. Utredningen föreslår att MSB ges rätt att utfärda verkställighetsföreskrifter om den närmare utformningen av ett system för obligatorisk incidentrapporteringen. Det kan t.ex. handla om vad som ska rapporteras in och på vilket sätt rapporte- ring ska ske.</P> <P class="p206 ft33"><SPAN class="ft33">9.6</SPAN><SPAN class="ft48">Brottsbekämpning</SPAN></P> <P class="p436 ft16"><SPAN class="ft16">9.6.1</SPAN><NOBR><SPAN class="ft63">It-brottskonventionen</SPAN></NOBR></P> <P class="p505 ft8"><SPAN class="ft50">Förslag: </SPAN>Arbetet med ratificering av Europarådets konvention om <NOBR>it-relaterad</NOBR> brottslighet, som undertecknades av Sverige 2001, bör slutföras.</P> <P class="p526 ft9">Befogenheten och även skyldigheten att uppdaga, beivra och utreda brott i den digitala miljön åligger de brottsbekämpande myndighet- erna. De polisiära myndigheterna utgör i detta en unik del i samhällets informations- och säkerhet då de i sina roller har ett mandat att aktivt uppspåra och lagföra aktörer som ligger bakom antagonistiska it- angrepp. De polisiära myndigheterna har därför på nationell nivå och i nära samverkan med övriga myndigheter ett särskilt ansvar att sörja för säkerheten kring samhällets kritiska infrastruktur och hantera de brottsliga angrepp som förekommer relaterat till detta.</P> <P class="p72 ft8"><NOBR>It-brott</NOBR> och brott relaterade till den digitala miljön utgör en ny typ av gränsöverskridande brottslighet som gör att ett väl funge- rande internationellt samarbete är vitalt för att nå framgång i det brottsbekämpande arbetet.</P> <P class="p103 ft8">Detta förhållande är väl erkänt i många strategier och policyer och inom EU även avhandlat på konventionsnivå. Europarådets konvention om <NOBR>it-relaterad</NOBR> brottslighet, även benämnd Budapest-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">262</P> </DIV> </DIV> <DIV id="page_263"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323263x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p283 ft37">konventionen, upprättades redan 2001. Konventionen kan sägas ha tre huvudsyften. Det första är att åstadkomma en harmonisering av den nationella straffrätten beträffande brott som tas upp i kon- ventionen. Det andra är att få fram nationella processrättsliga bestämmelser som tillgodoser behoven av regler för att på ett effektivt sätt utreda och lagföra <NOBR>it-relaterade</NOBR> brott och andra brott som begår med hjälp av datorer samt för att ta tillvara bevisning i elektronisk form. Det tredje är att lägga grunden för ett effektivt internationellt samarbete. Sverige var en av de första staterna att erkänna dess innehåll och skriva på konventionen. Sedan dess har dock ingen ratificering skett. En offentlig utredning, SOU 2013:39, har utrett vilka åtgärder Sverige behöver göra inom bland annat författningsområdet för att kunna ratificera konventionen. Vissa författningsändringar har med anledning av detta ägt rum, exem- pelvis införandet av brottet grovt dataintrång. Någon ratificering har dock inte skett och Sverige är nu en av få medlemsstater som inte har ratificerat konventionen. Därmed saknar Sverige flera av de instrument och verktyg som förväntas av oss som samarbetspart och medlemsstat inom EU. En ratificering med de lagändringar som är nödvändiga skulle dessutom öka möjligheten att framgångs- rikt bekämpa denna typ av brottslighet.</P> <P class="p537 ft10">Utredningen ser det därför som angeläget att arbetet med att ratificera <NOBR>it-brottskonventionen</NOBR> slutförs.</P> <P class="p191 ft16"><SPAN class="ft16">9.6.2</SPAN><SPAN class="ft63">Informationsutbyte</SPAN></P> <P class="p496 ft8"><SPAN class="ft50">Förslag: </SPAN>Det bör utredas om en tydligare reglering kan införas i offentlighets- och sekretesslagen rörande sekretess för uppgifter som utbyts vid samverkan mellan brottsbekämpande myndig- heter och andra myndigheter inom informations- och cyber- säkerhetsområdet.</P> <P class="p538 ft37">Även nationellt har behovet av samverkan ökat inom området och flera olika myndigheter från olika sektorer behöver därför ha en god förmåga att samverka och utbyta information i syfte att tillförsäkra samhället godtagbar informationssäkerhet. En satsning på ökad samverkan, anpassade lagstöd och en utvecklad kompetens skapar</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">263</P> </DIV> </DIV> <DIV id="page_264"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323264x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p338 ft10">förutsättningar för de brottsbekämpande myndigheterna att fram- gångsrikt uppdaga, beivra och utreda brott i den digitala miljön.</P> <P class="p225 ft9">Polismyndigheten har uppmärksammat utredningen på att det föreligger svårigheter när en brottsbekämpande myndighet ser ett behov av att delge samverkande myndigheter information. Det finns situationer då Polismyndigheten behöver delge en annan myndighet underrättelseinformation men samtidigt bedömer att sekretess alltjämt bör råda. En reglering i offentlighets- och sekre- tesslagen (2009:400) avseende överföring av sekretessen skulle då förenkla delgivningen av information. Utredningen bedömer därför att det finns ett behov att denna fråga i syfte att skapa förutsätt- ningar för en mer ändamålsenlig och effektiv samverkan för brotts- bekämpning inom informations- och cybersäkerhetsområdet.</P> <P class="p539 ft16"><SPAN class="ft16">9.6.3</SPAN><SPAN class="ft63">Översyn av bestämmelser om tvångsmedels i den digitala miljön</SPAN></P> <P class="p540 ft37"><SPAN class="ft52">Förslag: </SPAN>En översyn av bestämmelserna om tvångsmedel i 27 och 28 kap. rättegångsbalken och övriga lagrum bör göras för att säkerställa att brottsbekämpande myndigheter kan bedriva sin förebyggande och utredande verksamhet i den digitala miljön.</P> <P class="p541 ft16">Översyn av befintliga tvångsmedel</P> <P class="p155 ft9">Den digitala miljön har på ett genomgripande sätt förändrat männi- skors, företags och myndigheters sätt att kommunicera och inte- ragera. Denna utveckling är samhällsgenomgripande till sin karak- tär och skapar enorma möjligheter. För brottsbekämpningens för- måga att uppfylla sina uppgifter i denna digitala miljö uppstår dock en rad mycket stora utmaningar. Bland annat gäller detta använd- ningen och tillämpningen av hemliga tvångsmedel. Då samma befogenheter och skyldigheter gäller i den digitala världen som i den verkliga så gäller även de hemliga tvångsmedlen på samma sätt i båda miljöer. Dessa verktyg är dock inte i sin utformning skapade för eller anpassade för den digitala miljön. Även stöd i tillämpning kopplat till den nya digitala miljön saknas i stort sätt helt. Samtidigt som samhället i ökande omfattning flyttar ut i det digitala rummet</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">264</P> </DIV> </DIV> <DIV id="page_265"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p203 ft10">så har brottsbekämpningen i stora delar redskap, verktyg och lagstöd kopplade till den analoga världen.</P> <P class="p144 ft8">Att kunna fullgöra sin skyldighet att uppdaga, beivra och utreda brott i den digitala miljön ställer krav på verktyg som kan verka i denna miljö. De nuvarande verktygen är inte i sin utformning skapade för eller anpassade till den digitala miljön och de styrkor och förmågor som de befintliga hemliga tvångsmedlen har är i stort överspelade i denna miljö.</P> <P class="p229 ft8">Ett av de stora problemen i dagsläget är att stöd och tillämpning avseende de redan befintliga tvångsmedlen kopplat till den nya digitala miljön i stort saknas. Det finns således stora kunskaps- luckor och svarta fält avseende hur de existerande tvångsmedlen kan, får och ska användas i den digitala miljön.</P> <P class="p153 ft8">Bara ett sådant, i den fysiska världen, relativt enkelt hanterat tvångsmedel som husrannsakan och beslag utgör ett stort problem inom den digitala miljön för dagens brottsbekämpande organi- sationer och antalet tolkningar och tillämpningar är otaliga. Detta gör i förlängningen att rättssäkerheten riskerar att urholkas, dels genom att lagstiftningen tillämpas på olika sätt i liknande förhål- landen, dels genom att lagstiftningen inte används trots att den kanske skulle vara tillämpbar.</P> <P class="p245 ft8">Ett annat problem är att många av de befintliga tvångsmedlen inte är teknikneutrala och därmed med tiden kommer att bli obso- leta i den moderna digitala miljön. Ett beslut avseende hemlig av- lyssning av kommunikation utfärdat av domstol är inte särskilt mycket värt om kommunikationen som beslutet omfattar är kryp- terad eller saknar teknisk lösning för att vidarebefordras till de brottsbekämpande myndigheterna. Listan med exempel kring denna typ av problem kan göras omfattande.</P> <P class="p148 ft8">Om dessa olika typer av tekniska begränsningar, tillämpnings- svårigheter och direkta avsaknad av specificerat lagstöd skulle sammanställas befaras att mängden tillämpbara verktyg inom detta område skulle bli relativt begränsat och troligen avsevärt mer begränsat än lagstiftaren både avsett och känt till.</P> <P class="p277 ft38">Utifrån detta sagda är det därför av vikt att just med den digitala miljön och dess särskilda förutsättningar som utgångspunkt göra en genomgripande och detaljerad genomgång och analys över de befintliga tvångsmedlen och bestämmelserna inom området, och</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">265</P> </DIV> </DIV> <DIV id="page_266"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323266x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft10">sedan utifrån denna analys utröna vilka nya tillämpningar, föränd- ringar eller nyordningar som är påkallat.</P> <P class="p225 ft9">Utredningen föreslår därför en förnyad utredning, Tvångsmedel i den digitala miljön, med uppgift att se över bestämmelserna i 27 och 28 kapitlet rättegångsbalken samt övriga befintliga tvångsmedel avseende dess tillämpning i den digitala miljön samt vid behov före- slår förändringar eller nya lagstöd. Utredningen bör särskilt beakta förslag som framförts i SOU 2005:38 och 2012:44 rörande behovet av ett nytt tvångsmedel, hemlig dataavläsning (HDA).</P> <P class="p206 ft33"><SPAN class="ft33">9.7</SPAN><SPAN class="ft48">Internationella och regionala relationer</SPAN></P> <P class="p542 ft8"><SPAN class="ft50">Förslag: </SPAN>Regeringen säkerställer att Sverige agerar kraftfullt och konsistent i samtliga internationella och regionala fora av rele- vans.</P> <P class="p543 ft16"><SPAN class="ft16">9.7.1</SPAN><SPAN class="ft63">Sverige som stark internationell spelare</SPAN></P> <P class="p75 ft37">Den internationella dimensionen är mycket påtaglig när det gäller informations- och cybersäkerhet. Dels därför att informations- infrastrukturen i dag är sammanflätad och korsar nationsgränser, dels därför att många privata företag som driver och äger infra- strukturen är verksamma i flera länder. Störningar i informations- system kan snabbt röra sig mellan nationell och internationell nivå, vilket innebär att förebyggande och hantering av sådana störningar måste ske såväl på nationell som på internationell nivå. För att hantera dessa typer av angrepp finns omfattande internationella samarbetsnätverk, vilka i stor utsträckning bygger på förtroende. Det pågår också viktigt arbete inom exempelvis OECD och EU där särskilt förhandlingarna av <NOBR>NIS-direktivet</NOBR> förtjänar att nämnas. I skrivelsen <SPAN class="ft62">Samhällets krisberedskap – stärkt samverkan för ökad säkerhet </SPAN>(skr. 2009/10:124 s. 71 f.) angav regeringen att inter- nationell samverkan är en grundförutsättning för att öka in- formationssäkerheten i Sverige, både när det gäller förebyggande arbete och när det gäller att hantera inträffade störningar. Vidare slogs det fast att Sveriges medverkan i internationella samarbeten inom informationssäkerhetsområdet är av strategisk betydelse och</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">266</P> </DIV> </DIV> <DIV id="page_267"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p66 ft8">bör stödjas och utvecklas. Regeringen konstaterade även att mer- parten av den internationella samverkan kan genomföras av aktörer på eget initiativ, men viss samverkan kräver en nationell samord- ning, exempelvis där det är av vikt att Sverige tar en officiell ställ- ning. I det sammanhanget angavs att Sveriges nationella samord- ning för internationell samverkan inom informationssäkerhets- området bör, där så är lämpligt, göras tydligare. Utredningen åter- kommer till detta nedan.</P> <P class="p119 ft16"><SPAN class="ft16">9.7.2</SPAN><SPAN class="ft63">Olika perspektiv</SPAN></P> <P class="p210 ft9">Det internationella perspektivet inom området inrymmer både de globala cyberfrågorna inom utrikes- och säkerhetspolitiken och de internationella samarbeten som förekommer kring policyfrågor och tekniska angelägenheter med nät- och driftsperspektiv. Det inter- nationella samarbetet sker såväl inom de olika politikområdena som inom olika verksamhetsområden. När det gäller de internationella relationerna inom respektive politikområde är det för frågan ansva- rigt departement som företräder Sverige vid förhandlingar. På verk- samhetsnivå är det myndigheterna som har mycket viktiga kon- takter med motsvarande myndigheter i andra länder, inom och utom EU. Samarbeten finns inom flera områden från de rent tek- niska frågorna till mer övergripande policyfrågor. Utredningen har i kapitel 8 redogjort för några av de internationella forum och sam- arbeten i vilka Sverige deltar. I detta kapitel har utredningen även skildrat svensk global cyberpolitik (avsnitt 8.1) och noterat att det utgör en prioriterad utrikespolitisk fråga och en viktig del av Sveri- ges politik på det freds- och säkerhetsfrämjande och folkrättsliga området. I avsnittet beskrivs också hur den ökande betoningen på cyberfrågor inom utrikes- och säkerhetspolitiken har växt i takt med den tilltagande digitaliseringen och globaliseringen av sam- hället. Det kan konstateras att cyberfrågor är till sin karaktär gränslösa och kräver omfattande internationell samverkan och sam- förstånd, inte minst för att skapa goda förutsättningar för ökad stabilitet och transparens liksom utvecklandet av normer för ett ansvarsfullt beteende i cyberrymden. Utredningens bedömning är att i ett globalt perspektiv är samarbete för normbildande och förtroendebyggande åtgärder inom cyberområdet viktigt för att</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">267</P> </DIV> </DIV> <DIV id="page_268"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">stärka internationell fred och säkerhet vid användandet av informations- och kommunikationsteknologi, liksom för att minska sårbarheter och risker för <NOBR>it-angrepp</NOBR> och konflikter inom detta område. Som vi kunnat se tidigare finns det flera kanaler och forum där Sverige deltar i arbetet med dessa frågor. Målet för detta arbete måste vara att få genomslag för svenska intressen och gehör för Sveriges politik på det fredsfrämjande och folkrättsliga området.</P> <P class="p126 ft16"><SPAN class="ft16">9.7.3</SPAN><SPAN class="ft63">Samordning av det internationella agerandet</SPAN></P> <P class="p102 ft8">Den nationella informations- och cybersäkerheten förstärks genom ett aktivt och effektivt deltagande i verksamheten vid inter- nationella organisationer och i samarbetsforum som är viktiga med tanke på informations- och cybersäkerheten. Detta är också något som regeringen har konstaterat i ovan refererad skrivelse. I utred- ningens direktiv påpekas också att det är viktigt att Sverige har en tydlig inriktning på området för att kunna påverka den säkerhets- politiska inriktningen. En stor utmaning i arbetet sägs ligga i staters skilda syn på hotbilder, doktriner och definitioner kopplade till cybersäkerhet.</P> <P class="p208 ft37">För att svenska aktörer ska få genomslag på den internationella arenan är det viktigt att hänsyn tas till överordnade svenska intres- sen, och att utgångspunkten för vårt internationella agerande ut- görs av en gemensam svensk ståndpunkt. Detta gäller på alla nivåer, regeringen, Regeringskansliet och myndigheter. Utan en sådan samordning kan svenska representanter komma att framföra olika ståndpunkter som får till följd att målen inte uppnås och att Sveri- ges budskap uppfattas som tvetydigt eller oklart. Det är utredning- ens uppfattning att det budskap som framförts i internationella sammanhang inte i alla lägen har varit samordnat och därmed inte gynnat svenska intressen i den utsträckning som annars hade varit möjlig. Orsaken till detta kan vara den snabba utvecklingen inom området. På kort tid har cybersäkerhetsfrågorna uppmärksammats inom en rad internationella organisationer och politikområden. Vidare har den strategiska inriktningen på politiken i vissa avseen- den inte varit tillräcklig för att ge tillräcklig vägledning.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">268</P> </DIV> </DIV> <DIV id="page_269"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p429 ft37">Frågorna har behandlats inom vitt skilda politikområden, ibland med tydliga målkonflikter, vilket har gjort det svårt att skapa en gemensam värdegrund att utgå ifrån. En annan orsak kan vara upp- delningen av ansvaret inom informations- och cybersäkerhets- området, i meningen att det finns risk att samordningen har försvå- rats eller i vissa fall fallit mellan stolarna. De nationella samord- ningssvårigheterna grundas också i att Sverige deltar i ett stort antal forum vilket bidrar till samordningsbehov. Cybersäkerhetsfrågor är vidare komplexa och rör sig inom en lång rad olika sakområden. Som regeringen påpekat i tidigare nämnd skrivelse så finns det ett behov av att tydliggöra Sveriges nationella samordning för inter- nationell samverkan.</P> <P class="p544 ft8">Regeringskansliet har enligt sin instruktion ansvaret för att utse Sveriges ombud och andra representanter vid förhandlingar med annan stat eller vid förhandlingar med och möten inom inter- nationella organisationer. Med en väl genomarbetad och förankrad nationell strategi och en tydlig arbetsfördelning inom Regerings- kansliet och mellan myndigheterna bör de befintliga verktygen, dvs. gemensam beredning, regleringsbrev och myndighetsinstruk- tioner, vara tillräckliga för att hantera såväl förutsedda som snabbt uppkomna frågor. Det kan däremot finnas skäl att lägga större vikt vid de internationella frågorna när myndigheternas instruktioner och regleringsbrev ses över.</P> <P class="p204 ft8">Processer och arbetsorganisation inom Regeringskansliet har stor betydelse för den samlade statliga styrningen. Det gäller inte minst för strategiska ställningstaganden och för utformningen av myndigheternas uppdrag. Hur frågor som berör informations- säkerhet fördelas mellan departementen avgörs tydligast av den ansvarsfördelning som är fastställd i bilagan till förordningen (1996:1515) med instruktion för Regeringskansliet. Beroende på vad frågan huvudsakligen handlar om hanteras den av det departe- ment som huvudsakligen berörs, se avsnitt 7.2.1</P> <P class="p148 ft9">Riksrevisionen konstaterade i rapporten <SPAN class="ft14">Informationssäkerheten i den civila statsförvaltningen </SPAN>(RiR 2014:23) att det saknas en samlad central funktion i Regeringskansliet med ansvar för att bereda frågor om informationssäkerhet i statsförvaltningen. Riksrevisionen rekommenderade regeringen att inrätta en funktion och en process i Regeringskansliet med syfte att samlat hantera informations- säkerheten. Utredningen har i avsnitt 9.1.5 berört frågan om</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">269</P> </DIV> </DIV> <DIV id="page_270"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p345 ft9">samordning av det nationella arbetet och konstaterat att det genom departementsombildningen skapats bättre förutsättningar än tidigare för att förmå den centrala statsförvaltningen att agera samfällt när det gäller hanteringen av informations- och cybersäkerhetsfrågor. Ett samordnat svenskt agerande i internationella och regional relationer är på samma sätt avhängigt hur frågorna bereds i Regeringskansliet.</P> <P class="p238 ft37">Utredningen konstaterar att ansvaret för de internationella relationerna är spritt över en rad olika myndigheter och departe- ment vilket ställer stora krav på väl fungerande samordning i Rege- ringskansliet. Som vi också kunnat konstatera finns motsvarande behov av stärkt samordning när det gäller det nationella inform- ations- och cybersäkerhetsarbetet mellan Regeringskansliet och ansvariga myndigheter. Utredningen har i avsnitt 9.2 lämnat förslag som vi menar bidrar till att samordna det nationella arbetet. Det är viktigt att förslagen åtföljs av övergripande strategier och åtgärder som bl.a. innebär att regeringen säkerställer att Sverige agerar kraftfullt och konsistent i samtliga internationella och regionala fora av relevans. Nationell samordning för internationell samverkan bedöms här som en av åtgärderna.</P> <P class="p545 ft8">För att därtill säkerställa konsistens i det internationella agerandet behöver samordning ske antingen under det mandat som inrikes- ministern erhöll i samband med regeringsbildningen 2014 eller, om frågorna är av utrikes- och säkerhetspolitisk karaktär, genom Utrikesdepartementets försorg.</P> <P class="p223 ft8">På myndighetsnivå gör sig samma behov av stringens i ansvarsfördelningen och konsistens i uppträdandet gällande, vilket regeringen kontinuerligt behöver säkerställa. Flera av de internationella operativa relationerna har vuxit fram och också ändrat karaktär över tid. Så har exempelvis <NOBR>EU-organet</NOBR> ENISA med varje år kommit att inta rollen som EU:s informations- säkerhetsansvariga myndighet och bedriver idag ett brett arbete med informations- och cybersäkerhet, i vilket även ingår en nära samverkan med <NOBR>CERT-EU</NOBR> och framtagandet av stöd till CERT- funktioner i medlemsstaterna. Beträffande <NOBR>NATO-centret</NOBR> för cyberförsvar i Tallinn (NATO Cooperative Cyber Defence Centre of Excellence, CCD CoE), ryms vid sidan av rena försvars- angelägenheter också numera verksamhet som är av relevans för informations- och cybersäkerhet i allmänhet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">270</P> </DIV> </DIV> <DIV id="page_271"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323271x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p249 ft33"><SPAN class="ft33">9.8</SPAN><SPAN class="ft48">Övriga förslag</SPAN></P> <P class="p68 ft9">I avsnitt 9.1 samt bilaga 5 presenterar utredningen ett förslag till strategi för statens informations- och cybersäkerhet. Som vi där redogjort för syftar strategin till att söka åtgärda de mest angelägna bristerna i statsförvaltningen. Avsikten är dock att i nästa skede gå vidare till mer specifika områden. Kompetenshöjande åtgärder är ett sådant område som kräver särskilda insatser och medverkan från privat och offentlig sektor. Utredningen vill redan nu lyfta fram två åtgärder som rör detta område, nämligen övningsverksamhet och planering för kompetensförsörjning.</P> <P class="p546 ft16"><SPAN class="ft16">9.8.1</SPAN><SPAN class="ft63">Framtida övningsutveckling inom informations- och cybersäkerhetsområdet</SPAN></P> <P class="p547 ft10"><SPAN class="ft16">Bedömning: </SPAN>Övningsverksamhet inom informations- och cybersäkerhetsområdet bör fortsätta och förstärkas. Det finns även behov av att utveckla övningar av olika slag för flera sek- torer och nivåer i olika organisationer.</P> <P class="p548 ft9">Regelbundna nationella övningar är en förutsättning för att utveckla och utvärdera strukturer för hantering av allvarliga <NOBR>it-relaterade</NOBR> kriser. Övningar utgör ett kraftfullt instrument för att öka deltagares kris- hanteringsförmåga och för att identifiera tekniska och administrativa utvecklingsbehov. Regeringen utrycker i Budgetpropositionen 2012</P> <P class="p465 ft8">(UO 6) att ”MSB bör fortsatt arbeta utifrån myndighetens strategi för tvärsektoriella övningar på nationell nivå. Inriktningen för övningar bör ta sin grund i erfarenheter från inträffade händelser, genomförda övningar samt myndigheters risk- och sårbarhetsanalyser samt förmågebedömningar.”</P> <P class="p14 ft8">Dessa slutsatser torde även omfatta informations- och cyber- säkerhetsområdet och är i linje med <NOBR>EU-kommissionen</NOBR> syn att cybersäkerhetsövningar är strategiskt viktigt för att förbättra skyd- det av kritisk informationsinfrastruktur.</P> <P class="p15 ft38">Sverige bör fortsätta att aktivt delta i internationella övningar då de utgör en god katalysator för att bygga förtroende och utveckla processer för internationellt samarabete. Det är ett samarbete som är allt viktigare med tanke på informations- och cybersäkerhets-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">271</P> </DIV> </DIV> <DIV id="page_272"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p199 ft8">områdets gränsöverskridande natur och det faktum att tekniska experter inom informations- och cybersäkerhet fortfarande är en begränsad resurs. Det kostar även förehållandevis lite i form av personalresurser, tid och pengar att delta i internationella övningar. Det stora antalet aktörer som planerar och genomför övningar medför däremot att det är viktigt att prioritera vilka övningar Sve- rige ska delta i. Av särskild vikt är det att Sverige här snarast for- mellt ansluter sig till CCD CoE där den mest aktiva utvecklingen av civila tekniska cybersäkerhetsövningar (t ex Baltic Cyber Shield 2010, Locked <NOBR>Shields-serien)</NOBR> nu äger rum, och där i princip alla västländer nu deltar.</P> <P class="p238 ft9">Att genomföra egna nationella övningar är än viktigare och Sve- riges förmåga att planera och genomföra informations- och cyber- säkerhetsövningar står sig väl internationellt. Det beror bland annat på den kunskap som byggts upp under planeringen av sektoröver- gripande övningar som CDX (2008, 2010), NISÖ (2010, 2012), och tekniska informations- och cybersäkerhetsövningar med virtu- ell övningsmiljö (2013). <NOBR>Telö-serien</NOBR> utgör ett annat exempel på en återkommande övning som genomförs inom sektorn för elektro- nisk kommunikation. Därutöver har Sverige en virtuell övnings- miljö bekostad av Försvarsmakten och MSB i form av en teknisk övningsmiljö vid Totalförsvarets Forskningsinstitut (FOI). För- svarshögskolan har varit drivande i både utvecklingen och genom- förandet av övningar. Bland annat har en handbok tagits fram för <NOBR>CDX-övningar</NOBR> på såväl svenska som engelska. Detta medför att Sverige kan återanvända och vidareutveckla tekniska moduler till nya övningar. Denna förmåga förenklar arbetet och reducerar kostnaderna för att planera och genomföra nya övningar. Fördelen med att skapa egna övningar är att Sverige anpassar övningens ut- formning gentemot egna mål vilket blir allt viktigare ju mer speci- fika behov som finns för att utveckla verksamheters förmåga att hantera händelser och kriser. Sverige bör därför fortsätta enligt den aktuella inriktningen och regelbundet genomföra tvärsektoriella informations- och cybersäkerhetsövningar och tekniska inform- ations- och cybersäkerhetsövningar.</P> <P class="p549 ft13">Tekniska informations- och cybersäkerhetsövningar kan använ- das för att utveckla kunskapen i samhället och utvidga samarbetet mellan offentlig och privat sektor. Exempelvis kan det etablerade Svenskt <NOBR>CERT-forum,</NOBR> med deltagare från privat och offentlig</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">272</P> </DIV> </DIV> <DIV id="page_273"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323273x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p66 ft8">sektor, övas i syfte att stärka förtroendet och samverkan mellan dessa organisationer och därmed utveckla samhällets krishante- ringsförmåga.</P> <P class="p14 ft8">För att nå fler aktörer och nivåer i samhället bör övningar ut- nyttjas till att bygga upp förmågan hos andra aktörer i samhället som inte har samma resurser för <NOBR>it-incidenthantering.</NOBR> Arbetet inom ramen för MSB och FOI:s gemensamma satsning för att öka förmågan till att hantera <NOBR>it-relaterade</NOBR> risker och hot mot industri- ella informations- och styrsystem (NCS3) utgör också en grund för skapandet av övningsmiljömoduler och för att genomföra enklare tillämpade övningar. På detta sätt uppnås skalfördelar mellan förebyggande och förberedande arbete och ren övnings- verksamhet och på så vis nås fler organisationer. Detta är ett arbete som bör fortsätta och förstärkas. Det är även i linje med slutsat- serna från NISÖ 2012 som pekade på att det finns ett stort behov av övningar inom området – på alla nivåer i samhället men att övningar bör utformas så att varje aktör får möjlighet att delta uti- från sina egna förutsättningar, och på ett sätt som ger nytta i den dagliga verksamheten.</P> <P class="p243 ft16"><SPAN class="ft16">9.8.2</SPAN><SPAN class="ft63">Fördjupad dialog om kompetensförsörjning</SPAN></P> <P class="p496 ft8"><SPAN class="ft50">Förslag: </SPAN>Regeringen fördjupar dialogen mellan privata och offentliga aktörer samt utbildnings- och forskningsinstitutioner i fråga om utbildning och forskning inom informationssäker- hetsområdet.</P> <P class="p550 ft8">Utredningen har i avsnitt 9.3.2 föreslagit att regeringen fördjupar dialogen mellan privata och offentliga aktörer. Gemensamt för dessa är även behovet av att rekrytera personer med kvalificerad utbildning inom informationssäkerhetsområdet och det finns där- för även ett behov av att det allmänna samverkar med näringslivet kring frågeställningar som rör forskning och utbildning samt kom- petensförsörjning.</P> <P class="p15 ft38">Utredningen har genom olika kontakter inom offentlig och pri- vat verksamhet uppmärksammats på behovet av att vidta åtgärder för att förbättra utbildning och forskning inom informationssäker- hetsområdet. Bland annat har det framförts att svårigheten att hitta</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">273</P> </DIV> </DIV> <DIV id="page_274"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Överväganden och förslag</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p178 ft9">kompetent personal går ut över expansionen av infrastrukturen på ett sätt som ger allvarliga konsekvenser bl.a. för kvaliteten på den service som tillhandahålls av operatörerna av både nät och tjänster. Brist på spetskompetens drabbar data- och telekommunikations- företagen särskilt hårt. Dessa företag har ett stort rekryterings- behov eftersom verksamheten expanderar snabbt. Myndigheter nämner att det finns behov av att rekrytera personer som har såväl sektorsspecifik som informationssäkerhetsinriktad kompetens. Den offentliga sektorn upplever konkurrens om arbetskraften med det privata näringslivet som erbjuder högre löner.</P> <P class="p270 ft13">Behovet av kvalificerad utbildning i informationssäkerhet om- fattar olika yrkesgrupper såsom jurister, samhällsvetare, tekniker, och ekonomer. En betydande del av utbildningsbehovet måste till- godoses inom högskolans ram. Försvarshögskolan anordnar som beskrivs i 6.2.11 sedan 2011 en högre informationssäkerhetskurs där eleverna efter kursen diplomeras som "Chief Information Assu- rance Officers" (CIAO), vilken utvecklats med stöd av MSB, FRA och PTS. Deltagarna kommer både från offentlig sektor och från kritisk infrastruktur inom privat sektor. Genomgången kurs kan utgöra ett sådant krav på kompetens som föreslås i 9.2.3 för informationssäkerhetschefer. Det finns dessutom ett mycket begränsat antal personer i Sverige som besitter de kunskaper som krävs för att kunna genomföra sådan utbildning.</P> <P class="p272 ft9">Det kan också finnas behov av att stärka sambandet mellan utbildning och forskning. Vidare behövs det särskild kompetens på Polishögskolan för utredning av brott med anknytning till informationsteknik. I många andra länder har behovet lett till att man inrättar specialiserade funktioner inom polisorganisationerna, där man samlar personer med nödvändiga kunskaper för utredning av <NOBR>it-relaterad</NOBR> brottslighet. I Sverige har vi sett en tillväxt på både efterfrågan och utbud när det gäller utbildning i forensisk analys.</P> <P class="p270 ft13">Den som ska kunna ge råd i förebyggande informationssäker- hetsarbete och vid incidenter måste själv ha hög kompetens och god kännedom om flera områden som berör informationssäkerhet som till exempel om hur systemen är uppbyggda (operativsystem, DNS, IP och nätteknik), om säker applikationsutveckling och om skydd mot intrång samt skydd mot avlyssning.</P> <P class="p272 ft13">Utredningen föreslår således att även frågan om kompetensför- sörjningen inom informations- och cybersäkerhet görs till föremål</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">274</P> </DIV> </DIV> <DIV id="page_275"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t16"> <TR> <TD class="tr9 td80"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td81"><P class="p16 ft92">Överväganden och förslag</P></TD> </TR> </TABLE> <P class="p260 ft9">för dialog. Representanter från utbildningssystemet bör delta i dialogen. Målsättning med dialogen är att komma fram till hur man bör inrikta och stödja kompetensutvecklingen på informations- säkerhetsområdet både på bredden och på djupet. Det handlar bl.a. om att diskutera tvärvetenskapligt forskningsbehov, resursbehov och kompetensuppbyggnaden inom de högre utbildningarna. Dagens forskning inom informations- och cybersäkerhetsområdet uppvisar luckor och har i många fall ett snävt tekniskt fokus. Här finns ett behov av att vidga kunskapsbasen, inte minst vad gäller frågor med koppling till säkerhetskultur.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">275</P> </DIV> </DIV> <DIV id="page_276"> </DIV> <DIV id="page_277"> <P class="p4 ft7">10 Konsekvenser av förslagen</P> <P class="p241 ft33"><SPAN class="ft33">10.1</SPAN><SPAN class="ft105">Inledning</SPAN></P> <P class="p192 ft9">Enligt <NOBR>14–15</NOBR> a §§ kommittéförordningen (1998:1474) ska utred- ningen beräkna och redovisa de ekonomiska konsekvenserna av sitt förslag. Det gäller förslag som påverkar kostnaderna eller intäkt- erna för staten, kommuner, landsting, företag eller andra enskilda och förslag som innebär samhällsekonomiska konsekvenser i övrigt. När det gäller kostnadsökningar eller intäktsminskningar för staten, kommuner eller landsting ska utredningen föreslå en finansiering. Vidare följer av 15 § att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, ska konsekvenserna i det avseen- det anges i betänkandet. Detsamma gäller när ett förslag har betyd- else för brottsligheten och det brottsförebyggande arbetet, för syssel- sättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i för- hållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.</P> <P class="p58 ft8">Utredningens förslag innebär en höjd ambitionsnivå för statens informationssäkerhet. Åtskilliga av åtgärdsförslagen kan rymmas inom myndigheters befintliga budget. Nedanstående beräkningar avser främst de kostnader som uppstår hos Myndigheten för sam- hällsskydd och beredskap, som är den myndighet som enligt den föreslagna förordningen får ett utökat förvaltningsansvar. Kost- nader av mindre omfattning kan också komma att uppstå i andra delar av statsförvaltningen. Dessa är dock svårare att överblicka. De förslag i föregående kapitel som varit möjliga att kostnadsberäkna anges nedan.</P> <P class="p15 ft38">I nedanstående beräkningar ligger en schablon på en miljon kronor per person och år. Av beloppet utgör 700 000 kronor ordi- narie personalkostader (lön och lönekostnadspåslag) och 300 000</P> <P class="p551 ft20">277</P> </DIV> <DIV id="page_278"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Konsekvenser av förslagen</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p552 ft10">kronor kostnader för kompetensutveckling, förvaltningskostnader (overhead), reseersättningar, m.m.</P> <P class="p195 ft33"><SPAN class="ft33">10.2</SPAN><SPAN class="ft105">Åtgärdsförslagen</SPAN></P> <P class="p436 ft16"><SPAN class="ft16">10.2.1</SPAN><SPAN class="ft84">En nationell styrmodell för informationssäkerhet</SPAN></P> <P class="p340 ft9">En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid. En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation. Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter. I detta ligger också omfattande utbildningsinsatser.</P> <P class="p103 ft8">I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartlägg- ning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer. För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och <NOBR>it-inriktad</NOBR> säkerhet.</P> <P class="p72 ft8">Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning. Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk. Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.</P> <P class="p110 ft8">Sammantaget estimat för att lösa ovanstående uppdrag är fem tjänster. Men med en viss samordning med befintlig verksamhet vid MSB så torde tre till fyra tjänster vara tillräckligt, vilket enligt angiven schablon motsvarar tre till fyra miljoner kronor per år. Övriga kostnader bedöms kunna finansieras inom MSB:s befintliga budget för ordinarie verksamhet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">278</P> </DIV> </DIV> <DIV id="page_279"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td82"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td83"><P class="p16 ft36">Konsekvenser av förslagen</P></TD> </TR> </TABLE> <P class="p249 ft16"><SPAN class="ft16">10.2.2</SPAN><SPAN class="ft84">Upprättandet av ett kansli för myndighetsrådets arbete</SPAN></P> <P class="p210 ft37">Utredningen föreslår ett myndighetsråd med ett antal uppgifter. Rådet förslås fungera som en gemensam remiss- och berednings- instans i informationssäkerhetsfrågor. Rådet ska även säkerställa verkställandet av den nationella informations- och cybersäkerhets- strategin. Vidare föreslås att rådet ska förvalta och utveckla tillämpliga krav på standarder och certifiering och för produkter och tjänster med bäring på informationssäkerhet i samhällsviktig verksamhet. Myndighetsrådet bör även med stöd bl.a. av den natio- nella styrmodellen och tillsammans med den nya upphandlings- myndigheten ge stöd till myndigheter som har behov av expert- kompetens vad gäller it- och informationssäkerhet. Slutligen ska rådet även identifiera andra frågor än de ovan nämnda som kan göras till föremål för rådets behandling.</P> <P class="p553 ft8">Till ovan tillkommer att rådet ska förses med lägesbeskrivningar av hot- och risknivåer i den statliga verksamheten baserat på ett system för incidentrapportering.</P> <P class="p257 ft9">För att kunna driva arbetet med att förebygga, följa och åtgärda brister i statens informationssäkerhet behöver myndighetsrådet ett kansli. Förutom att tillgodose kansliet med underlag enligt ovan, så är kansliets uppgift även att säkerställa ett informationsutbyte och en samordning av de samverkande myndigheterna. Enligt utred- ningen bör myndighetsrådets kansli vara placerat hos MSB.</P> <P class="p15 ft8">Huvuddelen av uppgifterna kopplade till myndighetsrådet kan finansieras inom befintlig budget för respektive deltagande myndighet. För att bereda ärenden, följa upp nationella strategin, effektuera förvaltning och utveckling av tillämpliga krav på standar- der och certifiering av produkter och tjänster, säkerställa ett in- formationsutbyte, ge stöd till myndigheter som har behov av expertkompetens samt samordna lägesbeskrivningar av hot- och risknivåer finns det dock behov av tillskott på två tjänster för MSB vilket enligt angiven schablon motsvarar två miljoner kronor per år. Övriga kostnader bedöms kunna finansieras inom befintlig budget för respektive myndighet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">279</P> </DIV> </DIV> <DIV id="page_280"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Konsekvenser av förslagen</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p339 ft16"><SPAN class="ft16">10.2.3</SPAN><SPAN class="ft84">Uppgiften att bedriva tillsyn</SPAN></P> <P class="p102 ft8">Utredningen föreslår att MSB ges en allmän tillsynsuppgift över statliga myndigheters arbete.</P> <P class="p72 ft8">Uppgiften att bedriva tillsyn av efterlevnaden av regelverk hos statliga myndigheter, kommer med största sannolikhet innebära uppföljning, utvärdering och samordning av tillsynen samt att ge stöd och råd till myndigheterna. Uppföljning och revision är en nödvändig förutsättning för ett systematiskt informationssäker- hetsarbete. Detta arbete måste av nödvändighet till stor del bedrivas ute hos berörda myndigheter.</P> <P class="p71 ft8">Vidare innebär tillsynsuppgiften sannolikt att samordna och koordinera tillsynsmyndigheternas arbete i likhet med det förslag som Riksrevisionen tagit fram. Uppgiften innebär även att sam- verka med olika, för området relevanta aktörer (t.ex. myndig- heterna i myndighetsrådet). Sammantaget är en tillsynsverksamhet av denna karaktär personalintensiv om den ska ha avsedd effekt. Utredningen bedömer resursbehovet till fem till sex tjänster, vilket enligt angiven schablon motsvarar fem till sex miljoner kronor per år. Övriga kostnader bedöms kunna finansieras inom befintlig budget för respektive myndighet.</P> <P class="p206 ft16"><SPAN class="ft16">10.2.4</SPAN><SPAN class="ft84">Incidentrapportering</SPAN></P> <P class="p102 ft8">Huvuddelen av denna uppgift kan finansieras inom befintlig budget. I och med att ett obligatorium för <NOBR>it-incidentrapportering</NOBR> för statliga myndigheter föreslås kan en viss ökning av uppgifter förespås. Utredningen bedömer behovet till cirka två tjänster vid MSB. Den stora förändringsfaktorn är vad för kostnader som NIS- direktivet kommer att innebära. Om <NOBR>NIS-direktivet</NOBR> eller annan kravställning innebär att en dygnet runt verksamhet (s.k. 24/7/365) ska etableras vid <NOBR>MSB/CERT-SE</NOBR> så kommer detta innebära att minst fyra tjänster måste tillföras för att upprätthålla verksamheten över hela dygnet. Resursbehov bedöms därför på sikt vara två till sex tjänster vilket enligt angiven schablon motsvarar två till sex miljoner kronor per år.</P> <P class="p208 ft9">Redan nu torde det finnas etablerade rutiner hos alla myndigheter i och med de krav som redan nu finns på ett systemetiskt informations- säkerhetsarbete genom MSB:s föreskrift. I detta sammanhang handlar</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">280</P> </DIV> </DIV> <DIV id="page_281"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td82"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td83"><P class="p16 ft36">Konsekvenser av förslagen</P></TD> </TR> </TABLE> <P class="p66 ft8">det om att anpassa dessa rutiner till den obligatoriska <NOBR>it-incident-</NOBR> rutinen. När det gäller kostnader för övriga myndigheter bedöms dessa kunna finansieras inom befintlig budget.</P> <P class="p119 ft16"><SPAN class="ft16">10.2.5</SPAN><SPAN class="ft84">Säkrare kommunikation i staten</SPAN></P> <P class="p279 ft8">Utredningen föreslår att samtliga myndigheter som anges i bilagan till förordningen (2006:942) om krisberedskap och höjd beredskap ansluts till kommunikationsnätverket Swedish Government Secure Intranet (SGSI).</P> <P class="p13 ft8">Uppgiften att samordna, förvalta och säkerställa funktionalitet och säkerhet i SGSI omfattar redan i dag ett antal uppgifter i form av ackreditering, uppföljning av efterlevnad och utveckling av nya tjänster. SGSI i sig är avgiftsfinansierad vad avser nya tjänster och funktionalitet. En ökad anslutningstakt och merutnyttjande av SGSI medför dock att det behöver tillföras personella resurser för förvaltning och säkerhetsarbete.</P> <P class="p257 ft9">För att genomföra de åtgärder som föreslås i utredningen kop- plat till säkrare kommunikation i staten bedöms det att två tjänster måste tillföras MSB, vilket enligt angiven schablon motsvarar två miljoner kronor per år. Övriga kostnader bedöms kunna finan- sieras inom ordinarie budget för MSB och de anslutande aktörerna.</P> <P class="p166 ft8">Utredningen föreslår att lämpliga åtgärder bör vidtas för att utveckla sensorteknik. Härvid uppstår en engångskostnad för tekniken. Kostnaden för sensorer kan till stor del finansieras inom ordinarie budget för berörda myndigheter.</P> <P class="p257 ft9">En stor osäkerhet ligger i vad säkra kommunikationstjänster kan komma att kosta för att säkerställa kontakten med de utplacerade sensorerna. De stora löpande kostnaderna ligger i att hyra in särskild kapacitet och är beroende på hur många kopplingar ut mot myndigheterna som ska utföras, samt hur kommunikationslös- ningen kommer se ut. En möjlighet skulle på sikt kunna vara att nyttja den statliga kommunikationsinfrastrukturen.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">281</P> </DIV> </DIV> <DIV id="page_282"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Konsekvenser av förslagen</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p339 ft33"><SPAN class="ft33">10.3</SPAN><SPAN class="ft105">Statens intäkter</SPAN></P> <P class="p236 ft9">Utredningen bedömer att det snarare blir minskade kostnader på sikt än ökade statliga intäkter som följd av utredningens förslag. På informationssäkerhetens område är det sannolikt så att en förbätt- rad organisation, i enlighet med våra förslag i normalfallet dels leder till lägre kostnader, dels förorsakar genomförandekostnad men på sikt en kostnadsminskning tack vare bättre säkerhet.</P> <P class="p72 ft8">En samordning inom statsförvaltningen som bygger på en gemensam styrmodell kan leda till lägre kostnader för statliga myndigheter, om man i stället för att utveckla egna varianter följer gemensamma principer.</P> <P class="p103 ft8">Standardiseringsinsatser, liksom de flesta <NOBR>it-investeringar,</NOBR> inne- håller i teorin en inledande investeringskostnad och därefter en period av ökande effektivitet, möjligen lägre kostnader förutsatt att organisation, resurser och kompetens anpassas till den nya tek- niken. Det är dock svårt att kvantifiera dessa effekter.</P> <P class="p206 ft33"><SPAN class="ft33">10.4</SPAN><SPAN class="ft105">Finansiering</SPAN></P> <P class="p64 ft9">Eftersom informationssäkerhet normalt anses ingå i kostnaderna för respektive verksamhet är utgångspunkten att flera förslag bör bäras av respektive verksamheter; kostnaderna kan antas vara ganska marginella i förhållande till de totala verksamhetskostnaderna.</P> <P class="p226 ft9">Den största kostnaden gäller framför allt den utökade rollen för Myndigheten för samhällsskydd och beredskap, vilket kräver en anslagshöjning. Samverkan kommer i stor utsträckning att behöva utvecklas med myndigheter med stor egen informationssäkerhets- verksamhet och kunskap om strategiskt arbete bl.a. de i det föreslagna myndighetsrådet ingående myndigheterna. En sådan samverkan kan leda till att man delar med sig av utvecklingsarbetets resultat.</P> <P class="p104 ft13">Behovet av höjt anslag för Myndigheten för samhällsskydd och beredskap, som specificerats ovan i anslutning till de olika för- slagen, kan täckas genom omdisponeringar inom utgiftsområde 06 Försvar och samhällets krisberedskap, varifrån myndighetens ram- anslag finansieras. Det kan också övervägas om en del av kost- naderna är att hänföra till en ny förvaltningspolitisk inriktning av statsförvaltningens arbete och därmed hänförlig till utgiftsområde 02 Samhällsekonomi och förvaltning, liksom det kan övervägas om</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">282</P> </DIV> </DIV> <DIV id="page_283"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td82"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td83"><P class="p16 ft36">Konsekvenser av förslagen</P></TD> </TR> </TABLE> <P class="p66 ft8">delar av de kostnadsökningar som beskrivs är att hänföra till de krav på ökad digitalisering som statsförvaltningen varit föremål för, framförallt genom åtgärder hänförliga till utgiftsområde 22 Kom- munikationer. Ett sista förslag till övervägande är huruvida in- formations- och cybersäkerhet kommit att bli en så central del av statsförvaltningen i dess helhet att det förtjänar ett eget och nytt utgiftsområde.</P> <P class="p243 ft33"><SPAN class="ft33">10.5</SPAN><SPAN class="ft105">Samhällsekonomiska effekter</SPAN></P> <P class="p508 ft8">En utbredd användning av standarder i statlig verksamhet är till sin karaktär att betrakta som investeringar med förväntan om framtida vinster i form av ökad effektivitet, ökad säkerhet, liksom större konkurrens i näringslivet. Några av de samhällsvinster av en för- bättrad statlig användning av standarder och andra förslag som utredningen identifierat är:</P> <P class="p14 ft8">En säkrare och därigenom effektivare förvaltning ger större ut- rymme för andra ändamål än hantering av brister och fel.</P> <P class="p14 ft8">En större dynamik och konkurrenskraft uppnås om företag i sina mellanhavanden med den statliga förvaltningen kan använda öppna standarder och inte behöver anpassa sig till specifika myndighetsstandarder, vilket också kan minska den administrativa bördan för företagen.</P> <P class="p14 ft8">En ökad nationell konkurrenskraft kan åstadkommas om in- satser görs för ett ökat användande av internationella öppna stan- darder i statlig verksamhet.</P> <P class="p243 ft33"><SPAN class="ft33">10.6</SPAN><SPAN class="ft105">Förslagens brottsförebyggande konsekvenser</SPAN></P> <P class="p192 ft9">Förslagen bör om de genomförs ha en brottsförebyggande verkan. Såväl den nationella styrmodellen som tillsynen av regelefterlevnad och i synnerhet <NOBR>it-incidentrapporteringen</NOBR> torde, förutom åtgär- dernas primära effekt, dessutom skapa en större tydlighet kring det icke önskvärda beteendet, som kan tangera det kriminaliserade området, närmare bestämt brottet dataintrång. Sålunda är det också utredningens förväntning att de föreslagna åtgärderna ska verka avskräckande i förhållande till det icke önskvärda beteendet, dvs. att förslagen ska ha en allmänpreventiv effekt på de uppsåtliga</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">283</P> </DIV> </DIV> <DIV id="page_284"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Konsekvenser av förslagen</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p178 ft8">formerna av hot mot informationssäkerheten. Utredningen menar också att de föreslagna åtgärderna kan ha en höjande effekt på anmälningsbenägenheten avseende misstänkta fall av dataintrång. För att få varaktig verkan för det brottsförebyggande arbetet måste flera av förslagen fullföljas och förenas med ytterligare åtgärder, se t.ex. härom avsnitt 9.6.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">284</P> </DIV> </DIV> <DIV id="page_285"> <DIV id="id_1"> <P class="p554 ft21">Bilaga 1</P> <P class="p555 ft7">Kommittédirektiv 2013:110</P> <P class="p556 ft73">Strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och it- system</P> <P class="p557 ft10">Beslut vid regeringssammanträde den 28 november 2013</P> <P class="p558 ft16">Sammanfattning</P> <P class="p559 ft8">En särskild utredare ges i uppdrag att föreslå strategi och mål för hantering och överföring av information i elektroniska kom- munikationsnät och <NOBR>it-system.</NOBR></P> <P class="p560 ft10">Utredaren ska då</P> <P class="p561 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">föreslå en nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och itsystem,</SPAN></P> <P class="p562 ft60"><SPAN class="ft41"></SPAN><SPAN class="ft59">föreslå övergripande mål för samhällets informationssäkerhets- arbete, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig </SPAN><NOBR>it-infrastruktur,</NOBR></P> <P class="p563 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">klargöra begrepp som används inom informationssäkerhets- området och vid behov föreslå förtydligande eller alternativa benämningar och definitioner, särskilt av sådana som används i förslaget till nationell strategi, och</SPAN></P> <P class="p564 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">med utgångspunkt i uppdraget redovisa statliga myndigheters ansvar och roller utifrån de uppgifter och uppdrag på informa- tionssäkerhetsområdet som de har i dag.</SPAN></P> <P class="p565 ft37">Nuvarande ansvarsförhållanden och åtaganden ska beaktas men inte begränsa utredningen, som ska utgå från ansvarsprincipen och</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">285</P> </DIV> </DIV> <DIV id="page_286"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 1</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">gällande ekonomiska ramar. De begrepp eller benämningar som används i dessa direktiv ska inte föregripa eller begränsa utredarens arbete.</P> <P class="p426 ft10">Uppdraget ska redovisas senast den 1 december 2014.</P> <P class="p63 ft16">Bakgrund</P> <P class="p74 ft15">Samhällets informationssäkerhet</P> <P class="p340 ft9">Målen för Sveriges säkerhet är att värna befolkningens liv och hälsa, samhällets funktionalitet samt vår förmåga att upprätthålla grund- läggande värden som demokrati, rättssäkerhet och mänskliga fri- och rättigheter (propositionen Ett användbart försvar, prop. 2008/09:140, bet. 2008/09:FöU10, rskr. 2008/09:292). Det finns ingen motsättning mellan frihet och säkerhet utan dessa är ömsesidigt förstärkande. Med utgångspunkt i dessa övergripande mål för vår säkerhet är målen för arbetet med samhällets krisberedskap att minska risker för, och konsekvenser av, allvarliga störningar, kriser och olyckor. Skulle en sådan händelse inträffa bör människors liv, personliga säkerhet och hälsa tryggas samt skador på egendom och miljö begränsas (budgetpropositionen för 2013, prop. 2012/13:1 utg.omr. 6, bet. 2012/13:FöU1, rskr. <NOBR>2012/13:93-95).</NOBR></P> <P class="p208 ft9">All verksamhet är i dag beroende av fungerande informations- system. Våra nätverk och system behöver vara säkra och stabila över tid. Näringslivet, offentlig förvaltning och medborgarna måste känna tillit till att de digitala tjänsterna i samhället fungerar. Näringslivet har en betydelsefull roll som den största ägaren och förvaltaren av sam- hällsviktig informationsinfrastruktur. Konsekvenserna av en allvarlig <NOBR>it-incident</NOBR> skulle med stor sannolikhet genom bl.a. spridningseffek- ter kunna drabba samhällsviktig verksamhet i flera sektorer. Informa- tionssäkerhet berör således många olika verksamhetsområden bl.a. säkerhets- och utrikespolitiken, försvarspolitiken, näringsfrågor, socialfrågor och brottsbekämpning. För att nå målen för Sveriges säkerhet är det mot denna bakgrund viktigt att ett systematiskt informationssäkerhetsarbete genomförs på bred front i samhället.</P> <P class="p208 ft8">Informationssäkerhet bör vara väl integrerat i arbetet med <NOBR>risk-,</NOBR> sårbarhets- och säkerhetsanalyser. Analyserna behandlar bl.a. sam- hällets förmåga att motstå och hantera allvarliga händelser och verksamheters ömsesidiga beroendeförhållanden.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">286</P> </DIV> </DIV> <DIV id="page_287"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 1</P></TD> </TR> </TABLE> <P class="p255 ft9">Förmåga att hantera <NOBR>it-angrepp</NOBR> är nödvändig främst för att minska risken för, och konsekvenser av, allvarliga <NOBR>it-incidenter</NOBR> som drabbar samhällsviktig verksamhet och kritiska infrastruktur- system. Allvarliga <NOBR>it-incidenter</NOBR> som drabbar dessa system och även förluster av mindre mängder information över tid, kan medföra allvarliga konsekvenser och stora kostnader för samhället oavsett om det sker genom medvetna angrepp, misstag eller av olycka.</P> <P class="p69 ft15">Ökad digitalisering</P> <P class="p210 ft8">Informationsteknikens utveckling har medfört nya former av kom- munikation, datahantering och datalagring vilket också innebär nya former för interaktion mellan individer, organisationer och stater. I allt väsentligt är detta en positiv utveckling. Samtidigt medför it- utvecklingen ett större beroende mellan olika sektorer och verk- samheter och därmed också ökade sårbarheter. Detta har utvecklats till en av vår tids mest komplexa frågor.</P> <P class="p13 ft8">En ökande hantering av personinformation i informations- system medför också behov av funktioner för att tillgodose den personliga integriteten.</P> <P class="p59 ft9">Den 29 september 2011 beslutade regeringen om <SPAN class="ft14">It i människans tjänst – en digital agenda för Sverige</SPAN>, (N II 2, N2011/342/ITP, m.fl.). Av detta beslut framgår regeringens mål att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. Detta mål har också antagits av riksdagen (budgetpropositionen för 2012, prop. 2011/12:1, bet. 2011/12:TU1, rskr. 2011/12:87).</P> <P class="p15 ft37">Den 13 december 2012 beslutade regeringen om <SPAN class="ft62">Med medborga- ren i centrum. Regeringens strategi för en digitalt samverkande stats- förvaltning</SPAN>, (N II 10, N2012/6402/ITP m.fl.). Genom att samverka digitalt kan myndigheternas kontakter med medborgarna förenklas, innovation och delaktighet stödjas, samtidigt som statsförvalt- ningens effektivitet och kvalitet ytterligare kan höjas. En viktig utgångspunkt i all utveckling av statsförvaltningens tjänster är att effektivitet och service alltid måste vägas mot skyddet för den enskildes integritet och behov av sekretesskydd och att med- borgarna har tillit till att systemen är säkra.</P> <P class="p566 ft37">I dag utgör säkerhet, öppenhet och integritet kopplat till informa- tionssäkerhet en stor utmaning såväl nationellt som internationellt.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">287</P> </DIV> </DIV> <DIV id="page_288"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 1</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p70 ft8">En allvarlig <NOBR>it-incident,</NOBR> men även långvariga oupptäckta informa- tionsförluster, bedöms kunna få stora konsekvenser för den svenska ekonomin, för samhällsviktig verksamhet, kritisk infra- struktur och för enskilda individer.</P> <P class="p103 ft13">Internet används för både civila och militära ändamål och såväl staters som individers och organisationers säkerhet måste tillgodo- ses. Handel, immaterialrätt, tekniköverföring, nätsäkerhet, frågor om kritisk infrastruktur, demokrati, mänskliga rättigheter, bistånd och <NOBR>it-brott</NOBR> hänger samman med säkerhetspolitiska och försvars- politiska överväganden och utgör delar av samma problemkomplex. Det medför att en ansats att hantera problem inom området bör koppla samman dessa frågeställningar.</P> <P class="p63 ft15">Hot mot elektroniska kommunikationsnät och <NOBR>it-system</NOBR></P> <P class="p102 ft8">Hoten mot elektroniska kommunikationsnät och <NOBR>it-system</NOBR> är mångfacetterade, komplexa, svårdefinierade och föränderliga. Hot utgörs av allt ifrån tekniska fel till den mänskliga faktorn och medvetna handlingar. Utöver detta är det inte ovanligt att t.ex. väderfenomen, naturkatastrofer och olyckor orsakar incidenter med <NOBR>it-inslag.</NOBR></P> <P class="p208 ft13"><NOBR>It-angrepp</NOBR> kan utgöras av intrång som syftar till att störa funktionaliteten, förändra, stjäla eller manipulera information eller helt ta över ett informationssystem. <NOBR>It-angrepp</NOBR> mot samhällsviktig verksamhet och kritisk infrastruktur, såväl statlig som privat, kan också syfta till att begränsa tillgången till information eller funk- tioner. Ett exempel på sådana angrepp är överbelastningsattacker. En aktör kan också via <NOBR>it-angrepp</NOBR> störa, slå ut eller skaffa sig tillgång till styr- och kontrollsystem samt ledningscentraler för samhällsviktig verksamhet och kritiska infrastrukturer, exempelvis telenät, elnät, transportsystem, finanssystem, <NOBR>va-verk,</NOBR> processindustrier eller militära ledningssystem. Sådana <NOBR>it-angrepp</NOBR> kan förekomma såväl i fredstid som under kris eller krig och kan användas för att kom- plettera konventionella militära förmågor. Utvecklingen av militära <NOBR>it-förmågor</NOBR> internationellt innebär att även Sverige måste förhålla sig till nya krav på hur man försvarar sig mot en motståndare som har tillgång till sådana förmågor.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">288</P> </DIV> </DIV> <DIV id="page_289"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 1</P></TD> </TR> </TABLE> <P class="p336 ft8">Det sker en ansenlig mängd brottsliga angrepp inriktade på att kompromettera informationssystem för att otillbörligen komma åt information. Spionage sker i ökad omfattning och utförs såväl av stater som av organisationer och enskilda.</P> <P class="p15 ft13">Det är tydligt att verksamhetskritisk och känslig information inom både det offentliga och det privata är potentiella mål för olika typer av angrepp. Ett annat hot är att ökande krav på säkerhets- åtgärder i elektroniska kommunikationsnät, <NOBR>it-system</NOBR> och på inter- net riskerar att leda till inskränkningar av mänskliga rättigheter med stora politiska, sociala och ekonomiska konsekvenser som följd. Särskilt på det internationella planet är detta en oroväckande trend som ofta grundar sig i olika definitioner av begreppet säker- het och där vissa regimer använder säkerhet som skäl för att kon- trollera den egna befolkningen.</P> <P class="p69 ft15">Ansvar och samverkan mellan samhällsaktörer</P> <P class="p90 ft8">Att öka förmågan att förebygga och hantera allvarliga <NOBR>it-incidenter</NOBR> som drabbar samhällsviktig verksamhet är inte en uppgift för en enskild aktör eller myndighet utan något som privata och offentliga aktörer tillsammans bör bidra till. Nationell och internationell samverkan mellan militära och civila statliga myndigheter, inklusive försvarsunderrättelseverksamheten, och med kommuner och lands- ting är en förutsättning för att kunna förebygga, förhindra och hantera dessa risker. Övningar är ett viktigt instrument för att för- bättra förutsättningarna för samverkan samt att identifiera, åtgärda och förebygga brister.</P> <P class="p58 ft8">Grunden för samhällets krisberedskap är ansvarsprincipen (pro- positionen Stärkt krisberedskap – för säkerhets skull, prop. 2007/08:92, bet. 2007/08:FöU12, rskr. <NOBR>2007/08:193-194).</NOBR> Det innebär att den som har ansvar för en verksamhet under normala förhållanden också har det under allvarliga händelser, kriser eller krig. I ansvarsprincipen ingår även att samverka och samordna sig med andra aktörer i den omfattning som krävs för att effektivt förebygga och hantera en allvarlig händelse.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">289</P> </DIV> </DIV> <DIV id="page_290"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 1</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p154 ft15">Internationellt</P> <P class="p340 ft13"><NOBR>It-utvecklingen</NOBR> utmanar många traditionella föreställningar om säkerhetspolitikens omfattning, aktörer och logik. Ökat beroende av elektroniska kommunikationsnät och <NOBR>it-system</NOBR> förutsätter inter- nationell samverkan. Internationellt är det viktigt att Sverige har en tydlig inriktning på området för att kunna påverka den säkerhets- politiska utvecklingen. En stor utmaning i arbetet är staters skilda syn på hotbilder, doktriner och definitioner kopplade till informa- tionssäkerhet. En tydlig skiljelinje är staters olika syn på hur grund- läggande mänskliga rättigheter som yttrandefrihet förhåller sig till nationellt definierade säkerhets- och suveränitetsaspekter. För att alla på bästa sätt ska kunna nyttja de möjligheter som informa- tionstekniken ger behöver frihet, öppenhet och säkerhet för använ- darna baserat på rättsstatsprincipen utgöra en självklar grund för informationssäkerhetsarbetet.</P> <P class="p110 ft8">Att kunna upprätthålla en öppen, säker, motståndskraftig och tillförlitlig elektronisk kommunikationsmiljö är betydelsefullt för alla länder, och säkerheten för Sverige är beroende av den globala utvecklingen.</P> <P class="p226 ft13">I strategin för Europeiska unionens inre säkerhet (ISS) konsta- teras att <NOBR>it-brottslighet</NOBR> är ett hot särskilt mot medlemsstaternas informationssystem. <NOBR>EU-kommissionen</NOBR> och utrikestjänsten (EEAS) har presenterat en övergripande europeisk cybersäkerhetsstrategi som berör både <NOBR>EU-interna</NOBR> som <NOBR>EU-externa</NOBR> aspekter av <NOBR>it-frågor</NOBR> (JOIN(2013) 1 final). Den digitala agendan för Europa ägnar ett avsnitt åt <NOBR>it-brottslighet</NOBR> och <NOBR>it-attacker</NOBR> mot informationssystem samt ett avsnitt om tillit och säkerhet. <NOBR>OECD-länderna</NOBR> har antagit flera rekommendationer som berör informationssäkerhet och inter- netpolicy. Organisationen genomför också analyser av området, bl.a. av nationella informationssäkerhetsstrategier som under senare år antagits i ett flertal länder.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">290</P> </DIV> </DIV> <DIV id="page_291"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 1</P></TD> </TR> </TABLE> <P class="p105 ft16">Uppdraget</P> <P class="p10 ft15">Föreslå en strategi och mål för samhällets informationssäkerhet</P> <P class="p210 ft13">Myndigheternas arbete med informationssäkerhet ska bedrivas ut- ifrån en nationell strategi som tar sin utgångspunkt i att värna befolkningens liv och hälsa, samhällets funktionalitet samt för- mågan att upprätthålla grundläggande värden som demokrati, rätt- säkerhet och mänskliga fri- och rättigheter. Att stärka samhällets säkerhet kräver att skyddsvärden, hot och skyddsmedel ses i ett sammanhang. Denna helhetssyn bör genomsyra verksamhet över hela kedjan från orsaksförebyggande och sårbarhetsreducerade till hanterande och återuppbyggande verksamhet.</P> <P class="p58 ft8">Informationssäkerhet är en betydelsefull del i arbetet med att nå målen för Sveriges säkerhet och samhällets krisberedskap. Därför bör arbetet med att stärka informationssäkerheten vara en del av det allmänna säkerhets- och krisberedskapsarbetet. För att hålla samman såväl det nationella som det internationella arbetet inom informationssäkerhetsområdet och för att nå Sveriges politiska mål är det viktigt med en nationell strategi som bl.a. tar sin utgångs- punkt i en bred säkerhetspolitisk kontext. Strategin ska ta sin ut- gångspunkt i målen för Sveriges säkerhet och målen för samhällets krisberedskap.</P> <P class="p14 ft8">Strategin ska utgå från, och även kunna bidra till, fortsatt ut- veckling av politiska prioriteringar på området. Strategin ska inne- hålla övergripande mål samt utgångspunkter för hur aktörer i sam- hället ska samverka i arbetet med att förebygga, upptäcka, ingripa mot och agera i samband med allvarliga <NOBR>it-incidenter</NOBR> som drabbar samhällsviktig verksamhet.</P> <P class="p59 ft13">De övergripande målen ska utformas så att de ger mål, riktlinjer för och prioriteringar som kan ligga till grund för myndigheternas eget informationssäkerhetsarbete. Utredaren ska ta hänsyn till den internationella samverkan som existerar på området, åtaganden som ålagts Sverige till följd av internationella konventioner samt Sveriges förpliktelser som <NOBR>EU-medlem.</NOBR> Den nationella strategin för hantering och överföring av information i elektroniska kom- munikationsnät och <NOBR>it-system</NOBR> ska ses som ett övergripande sam- manhållet ramverk för hur arbetet med informationssäkerhet ska bedrivas i Sverige. Det förutsätts att mer nedbrutna detaljerade riktlinjer och handlingsplaner skapas för delområden och sektorer i</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">291</P> </DIV> </DIV> <DIV id="page_292"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 1</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p70 ft10">samhället inklusive det militära försvaret och försvarsunderrättelse- verksamheten.</P> <P class="p160 ft37">Den nationella strategin för hantering och överföring av informa- tion i elektroniska kommunikationsnät och <NOBR>it-system</NOBR> ska hantera risker på alla nivåer i samhället. Informationssäkerhetsområdet är tvärsektoriellt och omfattar många aktörer i samhället på lokal, regional och central nivå. Även näringslivet har en stor roll i detta arbete. Till detta kommer också den internationella dimensionen där olika aspekter måste beaktas. Den nationella strategin bör inkludera alla relevanta aspekter och aktörer.</P> <P class="p567 ft8">Syftet med strategin ska vara att uppnå ett effektivare och mer samordnat arbete med informationssäkerhet i samhället. Strategin ska vara ett stöd för myndigheternas arbete och kopplas till styr- medel och åtgärder för att åstadkomma ett operativt och verksamt arbete med informationssäkerhet i hela samhället. Nuvarande ansvarsförhållanden och åtaganden ska beaktas men inte begränsa utredningen, som ska utgå från ansvarsprincipen och gällande eko- nomiska ramar.</P> <P class="p401 ft10">Utredaren ska</P> <P class="p214 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">föreslå en nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och </SPAN><NOBR>it-system</NOBR> och</P> <P class="p568 ft13"><SPAN class="ft41"></SPAN><SPAN class="ft24">föreslå övergripande mål för samhällets informationssäkerhets- arbete, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig </SPAN><NOBR>it-infrastruktur.</NOBR></P> <P class="p62 ft8">Inför arbetet med strategin ska utredaren ta del av de nationella strategier som redan tagits fram av ett flertal länder. Utredaren ska också beakta det arbete som sker på informationssäkerhetsområdet inom bl.a. EU, Nato och OECD.</P> <P class="p63 ft15">Definiera begrepp inom området</P> <P class="p102 ft8">Uttrycket informationssäkerhet används bl.a. i regeringens pro- positioner, skrivelser och i vissa författningar, t.ex. myndighets- instruktioner. Internationellt förekommer ”information security” och ”cyber security”. Dessa uttryck används delvis med över-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">292</P> </DIV> </DIV> <DIV id="page_293"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 1</P></TD> </TR> </TABLE> <P class="p66 ft10">lappande betydelse, delvis med olika betydelse utifrån skilda ut- gångspunkter.</P> <P class="p164 ft9">Informationssäkerhet är enligt terminologi för informations- säkerhet (SIS handbok 550 utgåva 3) säkerhet för informationstill- gångar avseende förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet (även ansvarighet och oavvislighet).</P> <P class="p15 ft9">Informationssäkerhet är även ett legaldefinierat begrepp i säker- hetsskyddslagen (1996:627) där det finns bestämmelser om in- formationssäkerhet till skydd för rikets säkerhet. Säkerhetsskydds- lagstiftningen är för närvarande under översyn och utredningen ska redovisa sitt uppdrag i april 2014 (dir. 2011:94).</P> <P class="p13 ft8">Mot bakgrund av en ökad internationalisering och behov av interoperabilitet är även en jämförelse med andra nationer och organisationers syn på definitioner viktig. En särskild utmaning är staters skilda syn på hotbilder, regleringsbehov m.m. inom området som lett till skillnader i definitioner och begreppsanvändning. Begreppet informationssäkerhet kopplas av vissa länder till censur och statlig kontroll av medborgarna.</P> <P class="p269 ft13">På senare tid har även andra begrepp börjat användas i det svenska språket, framför allt cybersäkerhet och cyberförsvar men även benämningar som digital säkerhet och <NOBR>it-säkerhet</NOBR> förekommer utan att den närmare innebörden av dessa förklarats.</P> <P class="p14 ft8">Det finns således ett behov av att definiera begrepp och reda ut hur de förhåller sig till varandra samt vid behov ensa dessa begrepp för att undvika missförstånd. De begrepp eller benämningar som används i dessa kommittédirektiv ska inte föregripa eller begränsa utredarens arbete i detta avseende.</P> <P class="p57 ft10">Utredaren ska</P> <P class="p187 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">klargöra begrepp som används inom informationssäkerhets- området och vid behov föreslå förtydligande eller alternativa benämningar och definitioner, särskilt sådana som används i för- slaget till nationell strategi.</SPAN></P> <P class="p569 ft8">Utredningsuppdraget omfattar inte att föreslå förtydligande defini- tioner av begrepp som används inom ramen för säkerhetsskydds- lagstiftningen.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">293</P> </DIV> </DIV> <DIV id="page_294"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 1</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p154 ft15">Redovisa roller och ansvar på området</P> <P class="p75 ft13">Grunden för samhällets krisberedskap är ansvarsprincipen. Det finns flera statliga myndigheter med särskilda uppgifter eller upp- drag på informationssäkerhetsområdet, såväl nationellt som inter- nationellt, och frågorna spänner över en mängd olika områden och nivåer. De statliga myndigheterna bör utveckla sin förmåga att samverka inom informationssäkerhetsområdet. För att underlätta denna förmåga behövs en enhetlig och samlad beskrivning av respek- tive myndighets ansvar och roll utifrån dagens uppgifter och upp- drag på informationssäkerhetsområdet.</P> <P class="p426 ft10">Utredaren ska</P> <P class="p214 ft8"><SPAN class="ft41"></SPAN><SPAN class="ft61">med utgångspunkt i uppdraget redovisa statliga myndigheters ansvar och roller utifrån de uppgifter och uppdrag på informa- tionssäkerhetsområdet som de har i dag.</SPAN></P> <P class="p73 ft16">Konsekvensbeskrivningar</P> <P class="p254 ft8">Utredaren ska beskriva eventuella konsekvenser av sina förslag för statliga myndigheter, landsting, kommuner och andra relevanta aktörer som kan beröras.</P> <P class="p103 ft8">Om förslagen påverkar kostnaderna eller intäkterna för staten, landstingen, kommunerna eller enskilda ska en beräkning av dessa konsekvenser redovisas och utredaren föreslå finansiering för detta. Om förslagen får samhällsekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminsk- ningar för staten, landstingen eller kommunerna ska utredaren föreslå en finansiering. Sådan finansiering ska föreslås ske inom området och gällande ekonomiska ramar.</P> <P class="p110 ft8">Om något av förslagen påverkar det kommunala självstyret ska utredaren särskilt redovisa dessa konsekvenser och de särskilda avvägningar som lett till förslagen, i enlighet med bestämmelserna i 14 kap. 2 och 3 §§ regeringsformen.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">294</P> </DIV> </DIV> <DIV id="page_295"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 1</P></TD> </TR> </TABLE> <P class="p105 ft16">Samråd och redovisning av uppdraget</P> <P class="p279 ft8">Utredaren ska löpande hålla Regeringskansliet (Försvarsdeparte- mentet) informerat.</P> <P class="p15 ft9">Vidare ska utredaren hålla sig informerad om och beakta rele- vant arbete om informationssäkerhetsfrågor som pågår inom Rege- ringskansliet och i utredningar, som t.ex. Försvarsberedningens arbete. Utredaren ska även hålla sig informerad om och beakta Utredningen om säkerhetsskyddslagen (Ju 2011:14), Utredningen om förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten (S 2011:13), Sveriges Kommuner och Landstings insatser inom området eSamhället, den Digitala agendan för Sverige, <NOBR>e-förvaltningsstrategin,</NOBR> den europeiska cyber- säkerhetsstrategin, kommissionens förslag till direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informations- säkerhet i hela unionen (COM (2013) 48 final), det arbete som pågår inom ramen för regeringens arbete med EU:s digitala agenda, <NOBR>e-förvaltning</NOBR> och allmän uppgiftsskyddsförordning (COM(2012) 11 final) samt andra relevanta internationella dokument. I det fall EU beslutar om direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen ska det beaktas i arbetet med strategin. Utredaren ska också beakta andra länders samt nationella och internationella organisationers strategier för informationssäkerhet. Utredaren bör även beakta nuvarande politik som bedrivs på området.</P> <P class="p570 ft10">Uppdraget ska redovisas senast den 1 december 2014.</P> <P class="p571 ft10">(Försvarsdepartementet)</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">295</P> </DIV> </DIV> <DIV id="page_296"> </DIV> <DIV id="page_297"> <DIV id="id_1"> <P class="p554 ft21">Bilaga 2</P> <P class="p555 ft7">Kommittédirektiv 2014:66</P> <P class="p572 ft33">Tilläggsdirektiv till</P> <P class="p573 ft33">NISU 2014 (Fö 2013:04)</P> <P class="p574 ft10">Beslut vid regeringssammanträde den 8 maj 2014</P> <P class="p558 ft16">Utvidgning av uppdraget</P> <P class="p575 ft8">Regeringen beslutade den 28 november 2013 kommittédirektiv om strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och <NOBR>it-system</NOBR> (dir. 2013:110). Utredningen har tagit namnet NISU 2014.</P> <P class="p576 ft8">Utöver det ursprungliga uppdraget ska utredaren undersöka de rättsliga förutsättningarna för SOS Alarm Sverige AB (SOS Alarm) att inrätta och driva ett system för viktigt meddelande till allmän- heten (VMA) via mobil och fast telefoni vid allvarliga olyckor och kriser. Utredaren ska i det sammanhanget undersöka om det finns behov av ny eller ändrad lagstiftning och i så fall lämna fullständiga författningsförslag.</P> <P class="p577 ft8">Detta tilläggsuppdrag ska redovisas senast den 31 december 2014. Det ursprungliga uppdraget ska fortfarande redovisas senast den 1 december 2014.</P> <P class="p558 ft16">Viktigt meddelande till allmänheten</P> <P class="p578 ft38">Programföretag som sänder radio och tv har under lång tid om- fattats av krav att sända viktiga meddelanden till allmänheten. Av 4 kap. 9 § 15 radio- och <NOBR>tv-lagen</NOBR> (2010:696) framgår att ett tillstånd att sända tv eller sökbar <NOBR>text-tv</NOBR> får förenas med villkor om skyldig-</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">297</P> </DIV> </DIV> <DIV id="page_298"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 2</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p237 ft8">het att kostnadsfritt sända meddelanden som är av vikt för allmän- heten, om en myndighet begär det. Det finns möjlighet att ställa sådana villkor även för ljudradio, se 11 kap. 3 § 15 samma lag. Enligt sändningstillstånden för Sveriges Radio AB och Sveriges Television AB, vilka beslutades av regeringen den 19 december 2013, ska bolagen kostnadsfritt sända meddelanden som är av vikt för allmänheten om en myndighet begär det (Ku2013/2524/MFI och Ku2013/2525/MFI).</P> <P class="p385 ft8">Att ett system för varning och information genom mobiltelefoner bör införas stegvis anges i propositionen Samverkan vid kris – för ett säkrare samhälle (prop. 2005/06:133, bet. 2005/06:FöU9, rskr. <NOBR>2005/06:295-296).</NOBR></P> <P class="p238 ft8">Regeringen bemyndigade den 20 november 2008 (Fö2008/3431/SSK) chefen för Försvarsdepartementet att under- teckna alarmeringsavtalet (Fö2008/3587/SSK) mellan Svenska staten och SOS Alarm. I regeringsbeslut den 28 februari 2013 (Fö2013/468/SSK) anges att parterna efter förhandling enats om tillägg till alarmeringsavtalet som innebär att SOS Alarm under 2013 ska inrätta ett nytt tekniskt system för VMA via mobil och fast telefoni vid allvarliga olyckor och kriser. SOS Alarm ska där- efter svara för driften och underhållet av systemet. Det nya tek- niska systemet ska komplettera de befintliga systemen för varning. SOS Alarm ska enligt tilläggsavtalet även i samverkan med berörda aktörer undersöka förutsättningarna för att med det nya tekniska systemet nå svenska mobilabonnenter som befinner sig i annat land i händelse av en allvarlig olycka eller kris. SOS Alarm ska vidare under 2013 säkerställa att ansvariga aktörer bereds möjlighet att leverera samordnad och kvalitetssäkrad VMA vid allvarliga olyckor och kriser. Tjänsten ska vara en del av det totala <NOBR>VMA-systemet.</NOBR> I regeringsbeslut den 13 februari 2014 (Fö2014/280/SSK) anges att parterna enats om att ovan nämnda uppdrag ska fortsätta under 2014.</P> <P class="p201 ft13">Under arbetet med att inrätta ett system för VMA via mobil och fast telefoni vid allvarliga olyckor och kriser har SOS Alarm upp- märksammat regeringen på att det kan finnas behov av ändringar i befintlig lagstiftning för att SOS Alarm ska kunna inrätta och driva systemet. SOS Alarm gör bedömningen att föreslagen behandling av abonnentuppgifter kan ske med stöd av personuppgiftslagen (1998:204). Enligt SOS Alarm krävs det emellertid reglering i lagen</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">298</P> </DIV> </DIV> <DIV id="page_299"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 2</P></TD> </TR> </TABLE> <P class="p163 ft8">(2003:389) om elektronisk kommunikation för att teleoperatörer ska kunna skicka VMA per sms till de mobilabonnenter som befin- ner sig inom ett visst drabbat område, (N2013/5082/ITP).</P> <P class="p579 ft16">Tilläggsuppdraget om ett system för viktigt meddelande till allmänheten</P> <P class="p256 ft37">Att varna eller informera allmänheten vid olyckor eller vid över- hängande fara för olyckor, andra allvarliga händelser eller för sprid- ning av allvarlig smittsam sjukdom är viktigt för att hindra och begränsa skador på liv, hälsa, egendom eller miljö. Utnyttjande av informationsteknik och elektroniska kommunikationsnät kan vara ett värdefullt komplement till det befintliga <NOBR>VMA-systemet.</NOBR> Det är angeläget att varnings- och informationsarbetet präglas av snabbhet och tydlighet. Detta ställer stora krav på de tekniska systemens tillgänglighet och säkerhet. Det är också viktigt att det finns rätts- liga förutsättningar för att systemet ska kunna användas på ett lämpligt och effektivt sätt.</P> <P class="p218 ft10">Utöver det ursprungliga uppdraget ska utredaren</P> <P class="p108 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">undersöka de rättsliga förutsättningarna för SOS Alarm att inrätta och driva ett system för VMA via mobil och fast telefoni vid allvarliga olyckor och kriser,</SPAN></P> <P class="p189 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">i sitt arbete särskilt uppmärksamma behovet av skydd för den personliga integriteten, och</SPAN></P> <P class="p106 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">undersöka om det finns behov av ny eller ändrad lagstiftning och i så fall lämna fullständiga författningsförslag.</SPAN></P> <P class="p133 ft8">I uppdraget ingår inte att bedöma eller ta ställning till olika tek- niska lösningar som kan användas för att inrätta eller driva VMA.</P> <P class="p69 ft16">Konsekvensbeskrivningar</P> <P class="p518 ft8">Utredaren ska beskriva eventuella konsekvenser av sina förslag för statliga myndigheter, landsting, kommuner, operatörer och andra relevanta aktörer som kan beröras.</P> <P class="p257 ft37">Om förslagen påverkar kostnaderna eller intäkterna för staten, landstingen, kommunerna eller enskilda ska en beräkning av dessa</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">299</P> </DIV> </DIV> <DIV id="page_300"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 2</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p205 ft8">konsekvenser redovisas och utredaren ska föreslå finansiering för detta. Om förslagen får konkurrensmässiga eller samhällsekono- miska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, landstingen eller kommunerna ska utredaren föreslå en finansiering. Sådan finansiering ska föreslås ske inom området och gällande ekono- miska ramar.</P> <P class="p71 ft8">Om något av förslagen påverkar det kommunala självstyret ska utredaren särskilt redovisa dessa konsekvenser och de särskilda av- vägningar som lett till förslagen, i enlighet med bestämmelserna i 14 kap. 2 och 3 §§ regeringsformen.</P> <P class="p63 ft16">Samråd och redovisning av tilläggsuppdraget</P> <P class="p254 ft8">Utredaren ska löpande hålla Regeringskansliet (Försvarsdeparte- mentet) informerat om arbetet. Vid genomförande av tilläggsupp- draget ska utredaren inhämta synpunkter från SOS Alarm, Data- inspektionen, Myndigheten för samhällsskydd och beredskap och Post- och telestyrelsen.</P> <P class="p72 ft8">Detta tilläggsuppdrag ska redovisas senast den 31 december 2014. Det ursprungliga uppdraget ska fortfarande redovisas senast den 1 december 2014.</P> <P class="p580 ft10">(Försvarsdepartementet)</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">300</P> </DIV> </DIV> <DIV id="page_301"> <DIV id="id_1"> <P class="p554 ft21">Bilaga 3</P> <P class="p555 ft7">Kommittédirektiv 2014:152</P> <P class="p572 ft33">Tilläggsdirektiv till</P> <P class="p573 ft33">NISU 2014 (Fö 2013:04)</P> <P class="p574 ft10">Beslut vid regeringssammanträde den 27 november 2014</P> <P class="p558 ft16">Förlängd tid för uppdraget</P> <P class="p581 ft9">Regeringen beslutade den 28 november 2013 kommittédirektiv om bl.a. en nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och <NOBR>it-system</NOBR> (dir. 2013:110).</P> <P class="p582 ft8">Regeringen beslutade den 8 maj 2014 tilläggsdirektiv till utreda- ren. Enligt tilläggsdirektivet ska utredaren även undersöka de rätts- liga förutsättningarna för SOS Alarm att inrätta och driva ett system för viktigt meddelande till allmänheten (VMA) via mobil och fast telefoni vid allvarliga olyckor samt undersöka om det finns behov av ny eller ändrad lagstiftning och i så fall lämna fullständiga för- fattningsförslag (dir. 2014:66).</P> <P class="p576 ft8">Det ursprungliga uppdraget (dir. 2013:110) skulle redovisas senast den 1 december 2014. Utredningstiden förlängs nu. Upp- draget ska istället redovisas senast den 1 mars 2015.</P> <P class="p576 ft8">Tilläggsuppdraget enligt dir. 2014:66 ska fortfarande redovisas senast den 31 december 2014.</P> <P class="p583 ft10">(Försvarsdepartementet)</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">301</P> </DIV> </DIV> <DIV id="page_302"> </DIV> <DIV id="page_303"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323303x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <P class="p584 ft21">Bilaga 4</P> <P class="p585 ft106">MSB Dnr: <NOBR>2014-105</NOBR></P> <P class="p586 ft107">Förslag till nationell strategi och åtgärdsplan för säkra kryptografiska funktioner</P> <P class="p587 ft108">Rapporten är ett resultat från ett myndighetsgemensamt projekt mellan Myndigheten för samhällsskydd och beredskap (MSB), Försvarets radioanstalt (FRA), Försvarsmakten (FM) och Försvarets materielverk (FMV)</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">303</P> </DIV> </DIV> <DIV id="page_304"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft109">Syfte</P> <P class="p588 ft110">Syftet med denna rapport är att föreslå</P> <P class="p589 ft113"><SPAN class="ft111"></SPAN><SPAN class="ft112">en nationell strategi och åtgärdsplan för hantering och överföring av information i elektroniska kommunikationsnät och </SPAN><NOBR>it-system</NOBR> med hjälp av kryptering även för den information som inte faller in under signalskyddstjänstens mandat</P> <P class="p590 ft113"><SPAN class="ft111"></SPAN><SPAN class="ft112">övergripande mål för samhällets informationssäkerhetsarbete relaterat till kryptografi, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig </SPAN><NOBR>it-infrastruktur</NOBR> med hjälp av kryptografiska funktioner.</P> <P class="p591 ft114">Rapporten är avsedd att utgöra underlag till NISU <NOBR>2014-utredningen,</NOBR> som ska föreslå en strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och <NOBR>it-system.</NOBR></P> <P class="p592 ft114">Rapporten är ett resultat från ett myndighetsgemensamt projekt mellan Myndigheten för samhällsskydd och beredskap (MSB), Försvarets radioanstalt (FRA), Försvarsmakten (FM) och Försvarets materielverk (FMV). MSB är initiativtagare till projektet. Rapporten har tagits fram genom dokumentstudier och intervjuer av ett antal nationella experter inom området, både från den offentliga sektorn och från kryptoindustrin.</P> <P class="p497 ft109">Bakgrund och problembeskrivning</P> <P class="p593 ft115">Kryptologi är grunden för säker informations- och kommunikationsteknologi</P> <P class="p594 ft113">Innan moderna, så kallade asymmetriska, algoritmer uppfanns på <NOBR>1970-talet</NOBR> <NOBR>(Diffie-Hellman</NOBR> för nyckelutbyte och <NOBR>RSA-algoritmen</NOBR> för kryptering, autentisering och signering) var myndigheter och försvarssektorn de centrala användarna av krypto. Men introduktionen av <NOBR>Diffie-Hellman</NOBR> och RSA ledde till att krypto började användas även i kommersiella produkter och konsumtionsprodukter. Exempelvis för att skydda data både medan den skickas över ett nätverk (data i transit) och när den lagras, till exempel på en hårddisk, smarta telefoner eller ett flashminne (data i vila).</P> <P class="p595 ft113">Produkter som modem, digitalboxar, smarta kort och <NOBR>SIM-kort</NOBR> använder alla kryptering. Moderna kommunikationsprotokoll som SSH, S/MIME och SSL/TLS som används för att skydda data som överförs på internet baseras på kryptering. Kryptering används för att skydda data i transit som skickas från alla typer av enheter i alla sorters nätverk, inte bara på internet. Varje gång någon använder en bankomat eller köper något på nätet med en smart telefon, gör ett mobilsamtal eller trycker på en nyckelbricka för att låsa upp en bil, är det kryptering som används för att autentisera användaren och skydda den information som förmedlas. Skydd som förhindrar obehörig användning eller reproduktion av upphovsrättsskyddat material är ännu ett exempel på kryptering för att skydda data.</P> <P class="p596 ft114">Engångslösenordsgeneratorer, säkra betalningar, inpasseringssystem, säker inloggning till datatjänster lokalt eller via nätverk är några av väldigt många applikationer där säkerheten baseras på kryptering.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">304</P> </DIV> </DIV> <DIV id="page_305"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323305x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 4</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p597 ft113">Samhällets förmåga till hantering och överföring av information i elektroniska kommunikationsnät och <NOBR>it-system</NOBR> och Sveriges förmåga att upprätthålla säkerhet och integritet i samhällsviktig it- infrastruktur står och faller med vår förmåga att försäkra oss om att kryptolösningen är väl vald för ändamålet, att den är korrekt implementerad och att den används på rätt sätt.</P> <P class="p482 ft116">Säker kryptering är ett fundamentalt behov i <NOBR>it-samhället</NOBR></P> <P class="p598 ft113">Samhället har på senare år blivit allt mer <NOBR>it-beroende</NOBR> – ett beroende som idag omfattar alla samhällssektorer. <NOBR>It-incidenter</NOBR> kan idag hota kritisk infrastruktur, samhällsviktiga verksamheter och ytterst Sveriges säkerhet. Samhället behöver därför lägga resurser på att förebygga och hantera it- relaterade risker på ett helt annat sätt än tidigare. Den snabba <NOBR>it-utvecklingen</NOBR> medför även en ökad hotbild och de angrepp som svenska myndigheter dagligen utsätts för gör behovet av skydd än mer angeläget.</P> <P class="p599 ft113">Samhället har idag därför ett mycket stort och ökande behov av att skydda sin information i olika nivåer. Många organisationer har behov av att skydda information som omfattas av sekretess med hänsyn till rikets säkerhet och behöver signalskydd, men den allra största andelen uppgifter som behöver skyddas ligger på en lägre nivå. Sådana uppgifter kan vara hälso- och sjukvårdsuppgifter, risk- och sårbarhetsanalyser, förundersökningar eller asylärenden.</P> <P class="p600 ft113">Informationssäkerhet handlar om att information ska skyddas utifrån krav på dess konfidentialitet, riktighet och tillgänglighet där en vanligt förekommande skyddsåtgärd är användningen av krypto och kryptering av information.</P> <P class="p601 ft113">Kryptolösningar används idag inte bara vid kommunikation i traditionell mening för att skydda information som är skyddsvärd eller hemlig (konfidentialitet). Krypton används även till skydd för t.ex. signering av information (riktighet), automatiserade processer i samhällsviktiga funktioner som t.ex. kritiska infrastrukturer (tillgänglighet) och för att kunna följa hur och när information har hanterats och kommunicerats.</P> <P class="p602 ft113">Den pågående reformen av det nationella försvaret kan komma att innebära omfattande behov av kryptografiska funktioner i och med återuppbyggnaden av det civila försvaret. Det finns en stark politisk inriktning att planering inför höjd beredskap ska genomföras för civila aktörer, inte minst för de ansvariga myndigheterna. Behovet av såväl signalskydd som andra tillförlitliga krypton kommer att öka för de aktörer i samhället som berörs av planläggningsarbetet för det civila försvaret.</P> <P class="p603 ft114">Det finns även ett ökat behov av kryptolösningar genom ökad samverkan med andra stater och internationella organisationer, inte minst inom EU och NATO.</P> <P class="p94 ft116">Hur kan säker kryptering uppnås?</P> <P class="p604 ft114">Kryptologi används för att implementera säkerhetsfunktioner som skyddar informations konfidentialitet, riktighet och tillgänglighet. Dock krävs det en komplicerad kedja av teknik, processer och kunskap hos användarna för att sådana säkerhetsfunktioner verkligen ska ge det skydd som avsetts.</P> <P class="p605 ft110">Nedan listas de viktigaste faktorerna för att kryptolösningar ska vara tillräckligt säkra:</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">305</P> </DIV> </DIV> <DIV id="page_306"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323306x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p606 ft114"><SPAN class="ft111"></SPAN><SPAN class="ft117">Säkra kryptografiska algoritmer</SPAN>, dvs. att de matematiska algoritmer som ligger till grund för skyddet inte innehåller svagheter som kan utnyttjas av en angripare.</P> <P class="p607 ft113"><SPAN class="ft111"></SPAN><SPAN class="ft118">Säkra standarder</SPAN>, dvs. att de matematiska algoritmerna översatts till säkra standarder för datalagring och kommunikation.</P> <P class="p608 ft113"><SPAN class="ft111"></SPAN><SPAN class="ft118">Säkra </SPAN><NOBR><SPAN class="ft119">it-produkter</SPAN>,</NOBR> dvs. att produktutvecklarna implementerat valda standarder korrekt och att produkterna i övrigt är fria från sårbarheter som skulle kunna utnyttjas av en angripare.</P> <P class="p609 ft114"><SPAN class="ft111"></SPAN><SPAN class="ft117">Säkra systemarkitekturer</SPAN>, dvs. att <NOBR>it-produkterna</NOBR> kombinerats på ett sådant sätt att det önskade skyddet uppnås.</P> <P class="p610 ft113"><SPAN class="ft111"></SPAN><SPAN class="ft118">Säkra systemimplementationer, </SPAN>dvs. att systemintegratörer skapar system där krypteringsfunktionerna används korrekt, upplevs tillräckligt användaranpassade och inte innehåller konfigurationsmisstag eller andra sårbarheter som kan användas av en angripare.</P> <P class="p611 ft113"><SPAN class="ft111"></SPAN><SPAN class="ft118">Säker nyckelhantering</SPAN>, dvs. att de krypteringsnycklar som används i förekommande fall har genererats, distribueras, används och destrueras på ett säkert sätt, dvs. så att nycklarna inte i något led i kedjan kan användas av någon obehörig.</P> <P class="p612 ft113"><SPAN class="ft111"></SPAN><SPAN class="ft118">Utbildade användare</SPAN>, som förstår hur de använder systemen korrekt, som är medvetna om riskerna med felaktig användning samt omedelbart anmäler förlorade nycklar och andra relevanta incidenter.</P> <P class="p613 ft114">Vart och ett av ovan områden är en nödvändig och fundamental faktor för att kunna etablera säker kommunikation och säkra <NOBR>it-lösningar.</NOBR></P> <P class="p81 ft116">Kryptoincidenter kan vara utomordentligt samhällsfarliga</P> <P class="p614 ft114">Om någon av faktorerna som redovisats i föregående avsnitt inte är korrekt omhändertagna kan det få oerhörda effekter på individer, grupper, företag eller t.o.m. hela samhället. Några exempel:</P> <P class="p615 ft113"><SPAN class="ft119">Brister i kryptografiska algoritmer</SPAN>: Om en krypteringsalgoritms styrka innehåller svagheter kan (i värsta fall) samtliga säkerhetsfunktioner som baseras på denna algoritm slås ut i det ögonblick detta blir allmänt känt. Det skulle inte gå att skilja en korrekt transaktion från en förfalskad. Det skulle t.ex. innebära att (för de tjänster som baseras på algoritmen) samtliga <NOBR>e-legitimationer</NOBR> skulle gå att förfalska och all datatrafik gå att avlyssna eller förfalska. Inloggningar är inte längre säkra. All information som någonsin krypterats med en komprometterad algoritm måste betraktas som röjd. Detta kan leda till ohyggligt omfattande informationsförluster. En sådant incident vore direkt samhällsfarlig. Tidigare har flera väl etablerade kryptoalgoritmer fasats ut då brister i dessa har blivit kända.</P> <P class="p616 ft113"><SPAN class="ft119">Brister i kryptografiska standarder: </SPAN>Om en standard skulle innehålla brister kan det få liknande konsekvenser som ovan, till dess att standarden åtgärdats och samtliga system uppdaterats. Även denna typ av incident kan bli direkt samhällsfarlig, eftersom den kan komma att omfatta många produkter och system samtidigt och det kan ta lång tid innan nödvändiga uppdateringar genomförts. Historiskt har flera sådana brister upptäckts.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">306</P> </DIV> </DIV> <DIV id="page_307"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323307x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 4</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p617 ft114"><SPAN class="ft120">Brister i </SPAN><NOBR><SPAN class="ft120">it-produkter</SPAN>:</NOBR> Om kryptostandarden är felaktigt implementerad i en produkt på ett sådant sätt att det finns brister, kan samtliga system där en sådan produkt finns installerad drabbas hårt. Beroende på den enskilda produktens spridning och användningsområde kan sådana incidenter drabba berörda användare hårt och även bli samhällsfarliga.</P> <P class="p618 ft113"><SPAN class="ft119">Bristfälliga systemarkitekturer</SPAN>: Att etablera säkra system utgående från komponenter <NOBR>(it-produkter)</NOBR> är en komplicerad uppgift som kräver särskild kompetens. Om ett system inte har rätt arkitektur kan det leda till brister vilka kan leda till mer eller mindre allvarliga incidenter för det berörda systemet.</P> <P class="p619 ft114">På nationell nivå är det rimligt att anta att det finns många system med bristfällig arkitektur (eller implementation, se nästa exempel). Om det finns många sådana system leder det till en aggregering av risk och att viktiga samhällsfunktioner inte har <NOBR>it-system</NOBR> som är robusta nog.</P> <P class="p620 ft113"><SPAN class="ft119">Fel i systemimplementationer: </SPAN>Om en systemintegratör gör misstag då ett visst system etableras kan den berörda verksamheten drabbas av mer eller mindre allvarliga incidenter. En sådan incident kan vara allvarlig för det berörda systemet.</P> <P class="p621 ft113"><SPAN class="ft119">Osäker nyckelhantering</SPAN>: Om nyckelhanteringen inte är säker, kan samtlig information som skyddats med den/de berörda nycklarna vara komprometterad. Om en nyckel röjts är all information som krypterats med denna nyckel att betrakta som komprometterad. Eftersom nycklar i många tillämpningar inte byts ut regelbundet kan detta innebära mycket stora informationsförluster. Beroende på den information som skyddats kan nyckelincidenter vara mycket allvarliga.</P> <P class="p622 ft114"><SPAN class="ft120">Outbildade användare</SPAN>: Om användarna inte är utbildade kan det leda till nyckelincidenter och/eller att obehöriga får tillgång till systemen, vilket kan få följdverkningar.</P> <P class="p623 ft113">Som framgår av ovan finns det olika former av brister som kan omfatta olika stora delar av kritisk infrastruktur och få olika långtgående konsekvenser för samhället. I samtliga fall där ovan faktorer kan leda till allvarliga <NOBR>it-incidenter</NOBR> eller vara samhällsfarliga finns det därmed anledning för staten att ha en strategi för hur dessa frågor omhändertas.</P> <P class="p482 ft116">Bristen på styrning ger falsk trygghet</P> <P class="p624 ft113">Som beskrivits i föregående avsnitt är det flera faktorer som måste vara korrekt hanterade för att önskat skydd ska erhållas. Det är en komplicerad kedja av aspekter som var och en är vital, och som var och en måste hanteras och därmed styras.</P> <P class="p625 ft113">Bristen på styrning har visat sig ge en falsk trygghet, för även om moderna kryptokomponenter har en oerhört stor potential att ge det skydd vi behöver så är tekniken i sin grund avancerad och därför är fallgroparna många för den som inte har tillräcklig kompetens inom området.</P> <P class="p626 ft114">Varje länk som innehåller svagheter i denna kedja är en attackvektor för att kringgå den skyddsnivå man vill upprätthålla. Beroende på hur lätt det är att utnyttja svagheten och var i kedjan svagheten finns blir konsekvenserna olika allvarliga. Lite kort kan man säga att ju tidigare i kedjan som bristerna finns, ju större omfattning får konsekvenserna.</P> <P class="p627 ft113">Att tro att en verksamhet är säker för att man använder kryptering leder i många fall till en falsk trygghet, där riskerna kan vara mycket större än man tror. Enbart när samtliga faktorer som angivits i föregående avsnitt är väl hanterade kan man anse att skyddet är adekvat.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">307</P> </DIV> </DIV> <DIV id="page_308"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323308x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft116">Signalskyddstjänsten och Krypto för Skyddsvärda Uppgifter (KSU)</P> <P class="p628 ft113">Samhällets mest skyddsvärda uppgifter skyddas i dag av signalskyddstjänsten. Signalskyddstjänsten omhändertar kryptobehovet, med beaktande av ovan nämnda risker, för information som kan leda till men för rikets säkerhet och skyddet mot terrorism.</P> <P class="p629 ft113">Signalskyddstjänsten vidtar åtgärder som syftar till att förhindra obehörig insyn i och påverkan av tele- och radiokommunikationer med hjälp av signalskydd. Termen signalskydd har sina rötter i den signalspaning som ständigt pågår mot telekommunikations- och informationssystem som en väsentlig del av främmande makts underrättelsetjänst. Utveckling av signalskyddssystem ställer stora krav på leverantörens kunskap och processer. För att uppnå den tillförlitlighet (assurans) som krävs är det också nödvändigt att ha nationella kryptoleverantörer.</P> <P class="p630 ft113">Begreppet signalskydd är starkt reglerat och avser obligatoriskt skydd av elektronisk kommunikation av sekretessbelagda uppgifter som rör rikets säkerhet. Signalskyddssystemens skyddsnivå är dimensionerad att möta hotbilden från andra länders underrättelsetjänster.</P> <P class="p631 ft113">För att svara upp mot det ökade behovet av kryptografiskt skydd har det på senare år tagits fram en ny klass för nationellt godkända krypton – <SPAN class="ft121">krypto för skyddsvärda uppgifter </SPAN>(KSU) – vilket ska skydda annan skyddsvärd information än den som är hemlig med hänsyn till rikets säkerhet. Sådana krypton ska vara kommersiella produkter som genomgått en djupare granskning och som omgärdas av ett regelverk för att uppnå avsett skydd. Det är dock inte rimligt att alla kryptobehov i samhället kan täckas av nationellt godkända krypton såsom signalskydd eller KSU. För det första är behovet alldeles för stort för att kunna täckas in av de ansvariga myndigheternas förmåga att upprätthålla en sådan stor mängd tillgängliga lösningar. För det andra finns det ingen anledning för någon att lägga den ekonomiska eller administrativa bördan det innebär att upprätthålla den skyddsnivå ett nationellt godkänt krypto innebär för den stora mängden trafik. Här måste kostnaderna ställas i relation till skyddsvärdet på den information som ska skyddas.</P> <P class="p632 ft113">Tillämpningen av KSU kan inte skalas upp till att täcka hela det allmänna behovet av att skydda känslig eller sekretessbelagd information som inte rör rikets säkerhet inom kritisk infrastruktur eller samhällsviktig verksamhet, även om kraven är lägre för KSU jämfört med signalskydd.</P> <P class="p633 ft114">Denna rapport ger förslag på hur framförallt området utanför signalskyddets domän ska hanteras. Ett sådant regelverk måste utgå från kommersiella grunder.</P> <P class="p634 ft115">Sverige saknar förmåga att utvärdera <NOBR>it-produkter</NOBR> som ska motstå fysiska angrepp</P> <P class="p635 ft113">En av de stora utmaningarna inom informationssäkerhetsområdet idag är de oerhört stora mängder information som kan lagras i olika former av bärbar datautrustning, till exempel <NOBR>USB-minnen,</NOBR> mobiltelefoner och bärbara datorer. En av de vanligaste orsakerna till stora sekretessförluster är stöld eller förlust av sådan utrustning. Genom kryptering av information som lagras på bärbar datautrustning kan sekretessförlust i flertalet fall förebyggas. Ett sådant krypteringsskydd förutsätter dock att det kan motstå angripare som får fysisk tillgång till upphittad utrustning. En sådan angripare kan genom olika former av fysiska attacker röja kryptonyckeln och därigenom få åtkomst till den krypterade informationen.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">308</P> </DIV> </DIV> <DIV id="page_309"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323309x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 4</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p636 ft113">Risken för sådana fysiska attacker har ökat markant eftersom tillgången till kunskap om hur dessa fysiska attacker kan genomföras får ökad spridning, samtidigt som den utrustning som behövs för att genomföra attackerna i många fall blivit mycket billigare. Om det fysiska skyddet av kryptonycklarna inte är korrekt utformat finns det en tilltagande risk att en motiverad angripare framgångsrikt kan forcera skyddet hos en upphittad eller stulen bärbar datorutrustning, trots att informationen är krypterad. Det finns en lång rad exempel där olika former av skydd av information i bärbara enheter haft allvarliga brister vilket fått till följd att informationen kunnat läsas utan större insatser.</P> <P class="p637 ft113">Till skillnad från andra ledande länder inom <NOBR>it-säkerhetsområdet</NOBR> (t.ex. Storbritannien, Tyskland, Nederländerna och Spanien) saknar Sverige idag ett nationellt kompetenscentrum för att analysera hur sådana attacker genomförs och hur de kan förhindras genom lämpliga tekniska lösningar, även i det fall angriparen har tillgång till datorutrustningen. Konsekvensen av detta är att svenska myndigheter och leverantörer i många fall måste vända sig till andra länder för att få produkter prövade. Bristen på nationell kompetens inom området innebär även en väsentlig risk att information i bärbar utrustning inte har det skydd som utlovats.</P> <P class="p638 ft113">Sverige bör etablera en egen förmåga att analysera hur fysiska attacker mot information i bärbar datorutrustning kan genomföras och förebyggas, se förslag på uppdrag till FMV/CSEC i avsnitt 5.2 punkt f.</P> <P class="p483 ft116">Nationellt godkända krypton vs <NOBR>CC-certifierade</NOBR> produkter</P> <P class="p639 ft113">Eftersom nationellt godkända krypton inte kan omhänderta samhällets behov i stort så bygger de flesta säkerhetslösningar på allmänt tillgängliga kommersiella produkter, så kallade COTS<SPAN class="ft122">1</SPAN>. Fördelarna med dessa är att det finns ett stort utbud och att det är enkelt att köpa dem. Nackdelarna med kommersiellt tillgängliga produkter, i jämförelse med nationellt godkända krypton, är att myndigheterna måste förlita sig på att leverantören av produkterna levererar den säkerhetsfunktionalitet de utlovar.</P> <P class="p640 ft113">Ett sätt att skapa en kommersiellt driven process för att tillgodose samhället med kryptolösningar med tillräcklig kvalitet är att låta kommersiella leverantörer bekosta evalueringar av sina produkter genom ett internationellt erkänt certifieringssystem som Common Criteria (CC) inom ramen för <NOBR>CCRA-överenskommelsen<SPAN class="ft122">2</SPAN>.</NOBR></P> <P class="p621 ft113">Men att låta sin produkt genomgå en <NOBR>CC-granskning</NOBR> kan vara kostsamt och leverantörerna har idag i många fall inga incitament att genomgå denna typ av process eftersom de inte vet om de skulle få tillbaka sin investering. Därför finns idag ett stort gap mellan de nationellt godkända och kvalitetssäkrade kryptosystemen och alla andra tillgängliga lösningar.</P> <P class="p641 ft114">Denna rapport föreslår en strategi som kombinerar kommersiell kryptogranskning baserad på internationell eller nationell standard, med nationell granskning och godkännande av kryptosystem. I kombination med lämpliga lösningar på arkitekturnivå kan gapet då överbryggas.</P> <P class="p642 ft110"><SPAN class="ft123">1</SPAN><SPAN class="ft124">Commercial </SPAN><NOBR>off-the-shelf.</NOBR></P> <P class="p178 ft110"><SPAN class="ft123">2</SPAN><SPAN class="ft124">Common Criteria Recognition Arrangement.</SPAN></P> </DIV> <DIV id="id_3"> <P class="p4 ft20">309</P> </DIV> </DIV> <DIV id="page_310"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323310x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <TABLE cellpadding=0 cellspacing=0 class="t17"> <TR> <TD class="tr17 td86"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr17 td87"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr17 td88"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr17 td26"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr17 td89"><P class="p16 ft126">Hemliga</P></TD> <TD class="tr17 td45"><P class="p16 ft125">&nbsp;</P></TD> </TR> <TR> <TD rowspan=2 class="tr18 td86"><P class="p643 ft126">Reglerat i förordningar</P></TD> <TD rowspan=3 class="tr19 td87"><P class="p16 ft127">•</P></TD> <TD colspan=2 rowspan=3 class="tr19 td90"><P class="p16 ft126">Signalskydd</P></TD> <TD class="tr20 td89"><P class="p16 ft126">uppgifter</P></TD> <TD class="tr20 td45"><P class="p16 ft125">&nbsp;</P></TD> </TR> <TR> <TD rowspan=2 class="tr20 td89"><P class="p16 ft126">(OSL 15:2)</P></TD> <TD class="tr21 td45"><P class="p16 ft128">&nbsp;</P></TD> </TR> <TR> <TD class="tr22 td86"><P class="p16 ft129">&nbsp;</P></TD> <TD class="tr22 td45"><P class="p16 ft129">&nbsp;</P></TD> </TR> <TR> <TD rowspan=2 class="tr23 td86"><P class="p644 ft126">Inte tillräckligt reglerat i</P></TD> <TD class="tr17 td87"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr17 td88"><P class="p47 ft127">•</P></TD> <TD class="tr17 td26"><P class="p16 ft126">KSU</P></TD> <TD class="tr17 td89"><P class="p16 ft125">&nbsp;</P></TD> <TD rowspan=2 class="tr23 td45"><P class="p16 ft130">Skyddsvärda</P></TD> </TR> <TR> <TD class="tr24 td87"><P class="p16 ft131">&nbsp;</P></TD> <TD class="tr24 td88"><P class="p47 ft132">•</P></TD> <TD class="tr24 td26"><P class="p16 ft133">CVP</P></TD> <TD class="tr24 td89"><P class="p16 ft131">&nbsp;</P></TD> </TR> <TR> <TD class="tr25 td86"><P class="p644 ft126">förordningar</P></TD> <TD class="tr25 td87"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr25 td88"><P class="p47 ft127">•</P></TD> <TD colspan=2 class="tr25 td91"><P class="p16 ft126"><NOBR>CC-godkända</NOBR></P></TD> <TD class="tr25 td45"><P class="p16 ft126">uppgifter</P></TD> </TR> <TR> <TD class="tr8 td86"><P class="p16 ft126">I dagsläget</P></TD> <TD class="tr8 td87"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr8 td88"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr8 td26"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr8 td89"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr8 td45"><P class="p37 ft126">Övriga</P></TD> </TR> <TR> <TD class="tr20 td86"><P class="p16 ft126">inte relevant</P></TD> <TD class="tr20 td87"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr20 td88"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr20 td26"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr20 td89"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr20 td45"><P class="p37 ft126">uppgifter</P></TD> </TR> </TABLE> <P class="p645 ft126">att reglera i förordningar</P> <P class="p646 ft126">COTS</P> <P class="p647 ft134">Bild 1 Om statens samlade informationstillgångar och infrastrukturer liknas med ett isberg där skyddsvärdet stiger med höjden ovanför isbergets lägsta punkt, så är kryptoanvändningen idag reglerad på en ytterst liten del av toppen på isberget. Enligt detta förslag lämnas större delen utan reglering (den del som finns ”under ytan”), medan en mindre del skyddas med</P> <P class="p648 ft135"><NOBR>CC-godkända</NOBR> krypton (internationell standard), CVP (nationella tillägg till internationell standard), nationellt godkända kommersiella krypton (KSU) samt (högst upp) signalskydd. Indelningen är ett förslag till att öka informationssäkerheten till en lämplig nivå kopplat till skyddsvärdet på det som ska skyddas.</P> <P class="p67 ft116">Länders strävan att skydda sig leder till tekniska handelshinder</P> <P class="p5 ft110">OECD konstaterar i en rapport om det globala cybersamhället att:</P> <P class="p649 ft114">“… IT and the Internet have become so essential that our economy and society depend on them not only for their development but also for their basic functioning. Today, the stakes are higher and the challenges greater. Cyberspace is inherently international and characterised by interdependencies.”</P> <P class="p650 ft113">Nationer står inför ett dilemma: Å ena sidan inför nationer informations- och kommunikations- teknologi (IKT) i mycket stor omfattning för att utveckla tjänster och öka sin konkurrenskraft. Å andra sidan leder denna teknikutveckling till nya och mycket svårkontrollerade risker. Det moderna it- samhället blir effektivt, men samtidigt kolossalt sårbart för cyberattacker. Varje komponent (dvs. it- produkt) i samhällets <NOBR>IKT-infrastruktur</NOBR> kan vara föremål för angrepp i syfte att bedriva spionage och sabotage. <NOBR>IKT-infrastrukturen</NOBR> är en oemotståndlig attackväg för både statsaktörer och <NOBR>it-brottslighet.</NOBR> Angriparen har en låg kostnad, liten risk för upptäckt, svårt att bli avkrävd på ansvar, och via internet har angriparen enorm åtkomst till kritiska system i hela världen.</P> <P class="p651 ft114">Allt fler länder inför därför regleringar för att skydda sina kritiska informations- och kommunikationssystem. Exempel på åtgärder:</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">310</P> </DIV> </DIV> <DIV id="page_311"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323311x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 4</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p652 ft110"><SPAN class="ft111"></SPAN><SPAN class="ft136">krav på användning av nationella kryptografiska standarder</SPAN></P> <P class="p653 ft110"><SPAN class="ft137"></SPAN><SPAN class="ft138">utveckling av nationella standarder för att ställa krav på produkters design</SPAN></P> <P class="p653 ft110"><SPAN class="ft137"></SPAN><SPAN class="ft138">krav på certifiering mot dessa standarder i det egna landet</SPAN></P> <P class="p654 ft114"><SPAN class="ft137"></SPAN><SPAN class="ft139">utveckling av olika former av regelverk som avser att dels reglera den tekniska kontrollen, dels motverka att ”icke tillförlitliga” produkter upphandlas och används.</SPAN></P> <P class="p655 ft113">Denna utveckling har lett till en allvarligt tilltagande protektionism och tekniska handelshinder. Sverige är en exportnation och det är viktigt för Sveriges industri att inte vår export onödigtvis hindras av andra länders regleringar. Därmed blir det viktigt för Sverige att föregå med gott exempel.</P> <P class="p656 ft113">En strategi för hur information i elektroniska kommunikationsnät och <NOBR>it-system</NOBR> ska skyddas och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig <NOBR>it-infrastruktur,</NOBR> bör därmed beakta handelsaspekten.</P> <P class="p657 ft113">Omfattningen av tekniska regleringar med hänvisning till Sveriges säkerhetsintressen måste balanseras mot behovet av frihandel med <NOBR>it-säkerhetsprodukter.</NOBR> Utom för den mest skyddsvärda informationen (vilket inkluderar hemlig information) bör Sverige kunna tillåta användning av utländska kryptoprodukter, samtidigt som rimliga åtgärder vidtas för att tillvarata våra essentiella säkerhetsintressen.</P> <P class="p410 ft109">Förutsättningar för strategi och åtgärder</P> <P class="p186 ft116">En strategi som utnyttjar myndigheternas samlade kompetens</P> <P class="p604 ft113">I Sverige finns idag ett antal myndigheter som av regeringen har tilldelats ett utpekat ansvar att stödja arbetet med samhällets informationssäkerhet, de så kallade <NOBR>SAMFI-myndigheterna<SPAN class="ft122">3</SPAN>.</NOBR> Myndigheterna har olika ansvar, mandat och kompetens inom området. För att staten på ett effektivt sätt ska kunna stödja informationssäkerhetsarbetet i samhället avseende lösningar som baseras på krypton och kryptering, krävs det att myndigheterna får tydliga direktiv för att kunna se till att en nationell strategi för kryptering ska fungera samt att andra relevanta aktörer utöver SAMFI- myndigheterna identifieras.</P> <P class="p173 ft116">Att välja rätt kryptering kräver kunskap om teknik och säkerhetspolitik</P> <P class="p598 ft113">Samtidigt som kryptering är den främsta skyddsmekanismen i <NOBR>it-samhället</NOBR> (och just därför!) arbetar underrättelseorganisationer och andra aktörer i hela världen med att finna och utnyttja brister i krypteringssystemen för att kunna samla underrättelser och förbereda för cybersabotage. Det avsätts oerhörda resurser för att finna och utnyttja brister i krypteringsalgoritmer, standarder och implementationer till sin egen fördel.</P> <P class="p658 ft114">Att skydda de egna kryptosystemen förutsätter därför inte bara en hög kompetens om krypteringens matematik och hur den säkert kan implementeras och användas i det egna landet. Det förutsätter också en förståelse av vilken förmåga andra länders underrättelseorgan kan ha inom området. Detta kräver därmed en helt unik kompetens som för svensk del finns samlad hos Försvarsmakten och Försvarets radioanstalt.</P> <P class="p659 ft110"><SPAN class="ft140">3 </SPAN>Samverkansgruppen för informationssäkerhet. I SAMFI ingår MSB, FMV, Försvarsmakten, FRA, PTS och Polisen.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">311</P> </DIV> </DIV> <DIV id="page_312"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323312x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft116">En riskbaserad modell</P> <P class="p660 ft114">I det här avsnittet visas hur verksamheter kan lösa upphandling och användning av kommersiellt framtagna kryptoprodukter så att de uppnår tillräcklig säkerhet på ett kostnadseffektivt sätt.</P> <P class="p661 ft113">Vi har redan noterat att detta innebär stora utmaningar, och att staten för att skydda den mest känsliga informationen utvecklar signalskyddssystem. Hotbilden gör att det ställs mycket höga krav på funktionalitet och assurans. Utvecklingen kännetecknas därför av långa utvecklingstider och höga kostnader. Det ställs också högre krav på genomtänkt livscykelhantering samt välutbildade och säkerhetsmedvetna användare. Av ekonomiska skäl innebär detta att signalskydd endast kan användas för det mest skyddsvärda, dvs. hemlig information.</P> <P class="p482 ft110">En rimlig produktstrategi måste därmed baseras på användning av kommersiella produkter.</P> <P class="p662 ft113">Kommersiella produkter kan vara framtagna utifrån ”statliga” krav, så kallad GOTS<SPAN class="ft122">4</SPAN>, eller riktade mot en mer allmän kundmarknad, så kallad COTS. GOTS och COTS kan i varierande nivå uppfylla myndigheters funktionella krav, men i frånvaro av nationell granskning ge mindre assurans.</P> <P class="p663 ft113">Denna brist på tillit kan medföra att stater försöker gynna sin egen industri, samtidigt som man bygger murar mot omvärlden för att skydda sig. Ett större land är mer lyckosamt med att driva en sådan strategi. Men för alla kommer det leda till en fragmenterad marknad, långsammare teknologiutveckling, mindre innovation och högre kostnadsnivå.</P> <P class="p629 ft113">För mindre länder som Sverige där vi är beroende av att köpa <NOBR>it-säkerhetsprodukter</NOBR> på en internationell marknad leder ett sådant tänkande till dyrare och sämre produkter ur säkerhetssynpunkt. Vi bör i stället uppmuntra och medverka till en gemensam kravställning på global nivå med repeterbara tester av säkerhetsfunktionalitet. Detta ger en adekvat kravställning och en viss grad av förvissning om att krävd funktionalitet är korrekt implementerad. Utan egen granskning på detaljnivå kan vi emellertid aldrig få tillräcklig assurans till alla delar i en produkt, oaktat att vi ändå inte har råd att bekosta detta. Öppenhet och transparens i kravställningen med delaktighet av både myndigheter och industri har potential att resultera i effektiv konkurrens på en global marknad, och där små länder inte behöver betala för assuransåtgärder de inte sätter tillit till.</P> <P class="p664 ft113">Ovanstående omsätts nu i praktiken inom CCRA<SPAN class="ft122">5 </SPAN>enligt den nya överenskommelsen. För ett importberoende land som vårt leder detta till kostnadseffektiva produkter med känd och adekvat säkerhetsfunktionalitet.</P> <P class="p633 ft113">Genom att användningen av certifierade produkter regleras så kommer marknaden i Sverige att växa, fler leverantörer vill konkurrera om marknaden, myndigheter får fler produkter att välja mellan och därmed borde även produkterna bli billigare men samtidigt behålla nivån av säkerhetskrav de uppfyller.</P> <P class="p665 ft114">Första delen av vår riskbaserade modell innebär följaktligen att vi förordar att behovet av kryptoprodukter tillgodoses av <NOBR>CC-certifierade</NOBR> produkter baserade på nationellt godkända internationella skyddsprofiler, s.k. cPP:er<SPAN class="ft141">6</SPAN>. Vi undviker då att framtagningen av produkter blir en trång sektor. Produkterna är baserade på funktionella krav som Sverige medverkat till och godkänt.</P> <P class="p666 ft110"><SPAN class="ft123">4</SPAN><SPAN class="ft124">Government </SPAN><NOBR>off-the-shelf.</NOBR></P> <P class="p178 ft143"><SPAN class="ft123">5</SPAN><SPAN class="ft142">Common Criteria Recognition Arrangement, se https://www.commoncriteriaportal.org.</SPAN></P> <P class="p178 ft110"><SPAN class="ft123">6</SPAN><SPAN class="ft124">Collaborative Protection Profile.</SPAN></P> </DIV> <DIV id="id_3"> <P class="p4 ft20">312</P> </DIV> </DIV> <DIV id="page_313"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 4</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p667 ft114">Problemet som kvarstår är att assuransen till produkterna i många fall kommer att bli för låg. Det kan finnas missar i implementationen som resulterar i sårbarheter. För att vår riskhanteringsmodell ska bli fullständig måste vi därför komplettera med åtgärder som reducerar risken för sådana sårbarheter till en acceptabel nivå. Ett sådant exempel beskrivs i nästa avsnitt.</P> <P class="p81 ft116">Säkrare kommersiella kryptolösningar med kombinationsprincipen</P> <P class="p668 ft113">Att granska att en kryptoprodukt är korrekt implementerad och saknar allvarliga sårbarheter som kan leda till incidenter är en mycket komplex och kostnadskrävande uppgift. Det kräver även personal med hög kompetens om kryptologi och <NOBR>it-säkerhet.</NOBR></P> <P class="p641 ft114">Statens begränsade resurser i kombination med den stora mängden produkter som används gör det i praktiken omöjligt att genomföra nationell granskning på samtliga produkter som används i kritiska system.</P> <P class="p669 ft114">Samtidigt är det för flera kritiska tillämpningar inte tillräckligt att enbart förlita sig på den nivå av kryptogranskning som kan uppnås inom ramen för CCRA. CCRA har dock fördelen av att vara baserad på internationell standard och ett system för ömsesidigt erkännande av certifikat. Därmed kan långt fler produkter granskas inom ramen för CCRA än vad som är möjligt med nationell granskning.</P> <P class="p670 ft113">Vi beskriver här en metod kallad kombinationsprincipen som kan användas för att kompensera för otillräcklig assurans i enskilda produkter. Den kan tillämpas i de fall en kritisk tillämpning behöver skyddas, där <NOBR>CC-certifiering</NOBR> inte bedöms vara tillräckligt och <NOBR>KSU-godkända</NOBR> krypton inte finns.</P> <P class="p671 ft113">Kombinationsprincipen innebär att två eller flera produkter kombineras för att skapa flera lager av kryptering. Genom att kombinera <NOBR>CC-certifierade</NOBR> produkter på detta sätt kan riskerna ändå minskas. Säkerheten kan alltså behållas gentemot en angripare som kan utnyttja sårbarheter i en av produkterna.</P> <P class="p672 ft115">Standarder används för upphandling och reglering – nationell granskning görs på produkter i drift</P> <P class="p636 ft113">Det förslag på strategi som ges i kapitel 4 bygger på en modell som ska användas för att minska riskerna för det generella användandet av <NOBR>it-produkter,</NOBR> skapa kommersiella villkor för industrin samt inte skapa onödiga tekniska handelshinder.</P> <P class="p673 ft113">Målet med strategin är att möta behoven av kryptering som skydd för till exempel information som är skyddsvärd, samhällsviktiga system eller kritisk infrastruktur och där det idag saknas reglering för vilka åtgärder en myndighet eller verksamhet behöver vidta för att skydda sina informations- tillgångar. Se markerat område på bild 2 nedan.</P> <P class="p674 ft114">MSB ska med stöd av övriga <NOBR>SAMFI-myndigheter</NOBR> kravställa på <NOBR>it-produkter</NOBR> genom deltagandet i internationella tekniska arbetsgrupper inom ramen för CCRA.</P> <P class="p675 ft114">MSB ska ge ut föreskrifter om användandet av <NOBR>CC-evaluerade</NOBR> produkter samt upprätta en lista på evaluerade produkter. Statliga myndigheter ska sedan välja evaluerade produkter enligt MSB:s lista.</P> <P class="p676 ft113">När MSB identifierat eller ser en stor spridning på användandet av en specifik <NOBR>CC-evaluerad</NOBR> produkt så kan produkten bedömas behöva ytterligare granskning, baserat på omfattningen som produkten används i eller för att produkten till exempel används för att skydda samhällsviktig verksamhet eller</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">313</P> </DIV> </DIV> <DIV id="page_314"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323314x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p677 ft113">kritisk infrastruktur. MSB beställer då en extra kryptogranskning baserat på CVP<SPAN class="ft122">7 </SPAN>vid FMV/CSEC. Detta ger en återkoppling i rapportform över produktens kryptoegenskaper som kan användas vidare för en uppdatering av riskbedömningen. Detta höjer assuransen ytterligare ett steg. Granskningen resulterar också i underlag för återkoppling till den internationella arbetsgruppen där leverantören deltar samt till de myndigheter eller verksamheter som använder den granskade produkten. När CVP- godkännandet är klart kan MSB även hemställa att Försvarsmakten genomför en granskning av produkten och, om den motsvarar kraven, utfärdar ett <NOBR>KSU-godkännande</NOBR> av produkten.</P> <P class="p678 ft114">Normalt ska processen för <NOBR>KSU-godkännande</NOBR> föregås av en godkänd <NOBR>CVP-granskning</NOBR> hos FMV/CSEC. Om det finns särskilda skäl kan dock en produkt bli aktuell för <NOBR>KSU-granskning</NOBR> utan föregående CVP- godkännande.</P> <P class="p679 ft113">En <NOBR>KSU-granskning</NOBR> av Försvarsmakten ger en återkoppling i rapportform över produktens kryptoegenskaper och om den klarar kraven för nationellt godkännande. Med ett nationellt godkännande följer även ett regelverk kring användningen för att säkerställa avsett skydd. Granskningen används även för en uppdatering av riskbedömningen. Även <NOBR>KSU-granskningen</NOBR> kan resultera i underlag för återkoppling till den internationella arbetsgruppen där leverantören deltar samt till de myndigheter eller verksamheter som använder den granskade produkten.</P> <TABLE cellpadding=0 cellspacing=0 class="t18"> <TR> <TD class="tr17 td86"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr17 td87"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr17 td88"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr17 td26"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr17 td89"><P class="p16 ft126">Hemliga</P></TD> <TD class="tr17 td45"><P class="p16 ft125">&nbsp;</P></TD> </TR> <TR> <TD rowspan=2 class="tr18 td86"><P class="p643 ft126">Reglerat i förordningar</P></TD> <TD rowspan=3 class="tr19 td87"><P class="p16 ft127">•</P></TD> <TD colspan=2 rowspan=3 class="tr19 td90"><P class="p16 ft126">Signalskydd</P></TD> <TD class="tr20 td89"><P class="p16 ft126">uppgifter</P></TD> <TD class="tr20 td45"><P class="p16 ft125">&nbsp;</P></TD> </TR> <TR> <TD rowspan=2 class="tr20 td89"><P class="p16 ft126">(OSL 15:2)</P></TD> <TD class="tr21 td45"><P class="p16 ft128">&nbsp;</P></TD> </TR> <TR> <TD class="tr22 td86"><P class="p16 ft129">&nbsp;</P></TD> <TD class="tr22 td45"><P class="p16 ft129">&nbsp;</P></TD> </TR> <TR> <TD rowspan=2 class="tr23 td86"><P class="p644 ft126">Inte tillräckligt reglerat i</P></TD> <TD class="tr17 td87"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr17 td88"><P class="p47 ft127">•</P></TD> <TD class="tr17 td26"><P class="p16 ft126">KSU</P></TD> <TD class="tr17 td89"><P class="p16 ft125">&nbsp;</P></TD> <TD rowspan=2 class="tr23 td45"><P class="p16 ft130">Skyddsvärda</P></TD> </TR> <TR> <TD class="tr24 td87"><P class="p16 ft131">&nbsp;</P></TD> <TD class="tr24 td88"><P class="p47 ft132">•</P></TD> <TD class="tr24 td26"><P class="p16 ft133">CVP</P></TD> <TD class="tr24 td89"><P class="p16 ft131">&nbsp;</P></TD> </TR> <TR> <TD class="tr25 td86"><P class="p644 ft126">förordningar</P></TD> <TD class="tr25 td87"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr25 td88"><P class="p47 ft127">•</P></TD> <TD colspan=2 class="tr25 td91"><P class="p16 ft126"><NOBR>CC-godkända</NOBR></P></TD> <TD class="tr25 td45"><P class="p16 ft126">uppgifter</P></TD> </TR> <TR> <TD class="tr8 td86"><P class="p16 ft126">I dagsläget</P></TD> <TD class="tr8 td87"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr8 td88"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr8 td26"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr8 td89"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr8 td45"><P class="p37 ft126">Övriga</P></TD> </TR> <TR> <TD class="tr20 td86"><P class="p16 ft126">inte relevant</P></TD> <TD class="tr20 td87"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr20 td88"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr20 td26"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr20 td89"><P class="p16 ft125">&nbsp;</P></TD> <TD class="tr20 td45"><P class="p37 ft126">uppgifter</P></TD> </TR> </TABLE> <P class="p645 ft126">att reglera i förordningar</P> <P class="p646 ft126">COTS</P> <P class="p680 ft126">Bild 2 Det streckade området i bilden utgör den delen av skyddsvärd information och skyddsvärda system och infrastrukturer som förslaget på ny kryptostrategi främst försöker täcka in.</P> <P class="p681 ft110"><SPAN class="ft140">7 </SPAN>Cryptographic validation program.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">314</P> </DIV> </DIV> <DIV id="page_315"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 4</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft109">Förslag till strategi</P> <P class="p682 ft110">En nationell strategi för it- och kommunikationssäkerhet bör innehålla mål och åtgärder som borgar för att skyddet för samhällets information och infrastruktur läggs på rätt nivå i förhållande till skyddsvärdet genom att</P> <P class="p683 ft110"><SPAN class="ft137"></SPAN><SPAN class="ft138">statlig förvaltning använder säkra kryptoalgoritmer, kryptoformat och kryptoprotokoll</SPAN></P> <P class="p653 ft110"><SPAN class="ft137"></SPAN><SPAN class="ft138">statlig förvaltning använder säkra kryptostandarder</SPAN></P> <P class="p684 ft110"><SPAN class="ft137"></SPAN><SPAN class="ft138">statlig förvaltning använder produkter som genomgått grundläggande kryptoverifiering</SPAN></P> <P class="p653 ft110"><SPAN class="ft137"></SPAN><SPAN class="ft138">statlig förvaltnings kritiska </SPAN><NOBR>it-system</NOBR> är säkert konstruerade när det gäller kryptering</P> <P class="p685 ft113"><SPAN class="ft137"></SPAN><SPAN class="ft144">statlig förvaltning utnyttjar internationell standard för att definiera grundläggande krav på design, funktion, implementation och granskning av säkerhetsfunktioner baserade på kryptografi i </SPAN><NOBR>it-produkter,</NOBR> utökade med kompletterande nationella krav där internationell standard inte motsvarar svenska behov</P> <P class="p686 ft114"><SPAN class="ft137"></SPAN><SPAN class="ft139">statlig förvaltning tillämpar en riskbaserad modell för att öka säkerheten i kryptolösningar under nivån signalskydd</SPAN></P> <P class="p653 ft110"><SPAN class="ft137"></SPAN><SPAN class="ft138">statlig förvaltning har nödvändig kompetens, processer och teknik för säker nyckelhantering</SPAN></P> <P class="p687 ft113"><SPAN class="ft137"></SPAN><SPAN class="ft144">statlig förvaltnings personal har relevant utbildning om riskerna med kryptering, samt utbildning om säker användning av kryptosystem</SPAN></P> <P class="p652 ft110"><SPAN class="ft137"></SPAN><SPAN class="ft138">ansvar för utveckling av signalskyddssystem kvarstår enligt nuvarande ordning</SPAN></P> <P class="p684 ft110"><SPAN class="ft137"></SPAN><SPAN class="ft138">signalskydd pekas ut som nationellt säkerhetsintresse</SPAN></P> <P class="p688 ft113"><SPAN class="ft137"></SPAN><SPAN class="ft144">statlig förvaltning har nödvändigt stöd vid riskbedömning, kravställning, upphandling, driftsättning, förvaltning, avveckling och utbildning av kryptosystem.</SPAN></P> <P class="p689 ft114">En svensk nationell strategi för kryptering förutsätter att flera olika myndigheter ges ansvar, resurser och instruktioner som åstadkommer ovan strategi.</P> <P class="p690 ft109">Förslag till åtgärder</P> <P class="p691 ft110">Utöver den reglering som finns för signalskydd borde övriga kryptosystem regleras ytterligare.</P> <P class="p692 ft113">Nedan beskrivs ett förslag på uppgifter som borde ges myndigheterna, i syfte att implementera den föreslagna strategin. Dessa åtgärder ska minska de informationssäkerhetsrelaterade riskerna genom att främja kostnadseffektiva och snabba evalueringar av krypton, som leder till ökad tillgång till säkerhetsrelaterade funktioner.</P> <P class="p483 ft116">Regeringens uppdrag till MSB</P> <P class="p10 ft145">Föreskrift inom kryptoområdet</P> <P class="p691 ft110">MSB bör ges regeringens uppdrag att ta fram föreskrift enligt följande:</P> <P class="p693 ft113">Föreskriften bör avse alla krypton som används av eller på uppdrag av statliga myndigheter under regeringen, förutom Försvarsmakten och Regeringskansliet, i syfte att skydda civila kritiska informationsinfrastrukturer och samhällsviktiga system.</P> <P class="p694 ft113">Sådana krypton ska uppfylla kraven och vara certifierade i enlighet med MSB:s föreskrivna cPP:er genom FMV/CSEC:s kryptografiska valideringsprogram (CVP) eller i förekommande fall vara KSU- godkända (Krypto för skyddsvärda uppgifter) genom granskning av Förvarsmakten.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">315</P> </DIV> </DIV> <DIV id="page_316"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323316x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft110">Statliga myndigheter under regeringen förutom Försvarsmakten och Regeringskansliet ska</P> <P class="p652 ft143"><SPAN class="ft126">a.</SPAN><SPAN class="ft146">välja evaluerade krypton enligt MSB:s upprättade lista över sådana produkter</SPAN></P> <P class="p652 ft110"><SPAN class="ft110">b.</SPAN><SPAN class="ft147">samarbeta med MSB för att identifiera och prioritera nya behov av evaluerade krypton</SPAN></P> <P class="p652 ft110"><SPAN class="ft110">c.</SPAN><SPAN class="ft148">om möjligt delta i utveckling av </SPAN><NOBR>CC-skyddsprofiler</NOBR></P> <P class="p652 ft110"><SPAN class="ft110">d.</SPAN><SPAN class="ft147">anlita behöriga systemintegratörer upphandlade inom Kammarkollegiets ramavtal</SPAN></P> <P class="p695 ft110"><SPAN class="ft126">e.</SPAN><SPAN class="ft148">utbilda egen personal med stöd av behöriga lärare upphandlade inom Kammarkollegiets ramavtal.</SPAN></P> <P class="p696 ft145">MSB:s ansvar i sin egen verksamhet</P> <P class="p5 ft110">MSB ska i sin egen verksamhet ansvara för att</P> <P class="p697 ft110"><SPAN class="ft126">a.</SPAN><SPAN class="ft148">utveckla cPP (Collaborative Protection Profiles) samt bidra till tekniska kravställningar för krypton som ska användas i informationsinfrastrukturer och samhällsviktiga system. Utvecklingen ska om möjligt ske i öppna processer i samverkan med berörda myndigheter, leverantörer samt övriga berörda aktörer.</SPAN></P> <P class="p698 ft110"><SPAN class="ft110">b.</SPAN><SPAN class="ft147">utveckla nationella skyddsprofiler där inte internationellt stöd för svenska behov för en cPP finns</SPAN></P> <P class="p699 ft110"><SPAN class="ft110">c.</SPAN><SPAN class="ft148">ge ut föreskrifter och rekommendationer för användning av cPP</SPAN></P> <P class="p700 ft110"><SPAN class="ft110">d.</SPAN><SPAN class="ft147">föra en förteckning över certifierade krypton för användning i kritiska informationsinfrastrukturer och samhällsviktiga system</SPAN></P> <P class="p652 ft110"><SPAN class="ft126">e.</SPAN><SPAN class="ft148">publicera vägledningar för implementering av kommersiella kryptosystem enligt föreskrifter</SPAN></P> <P class="p701 ft110"><SPAN class="ft126">f.</SPAN><SPAN class="ft138">ge uppdrag till Kammarkollegiet i syfte att ta fram ramavtal för upphandling av kommersiella kryptosystem</SPAN></P> <P class="p702 ft143"><SPAN class="ft126">g.</SPAN><SPAN class="ft146">göra </SPAN><NOBR>risk-/sårbarhetsanalys</NOBR> över vilka kryptoprodukter som används i Sverige och beställa tilläggsgranskning enligt CVP av de mest kritiska produkterna</P> <P class="p652 ft110"><SPAN class="ft110">h.</SPAN><SPAN class="ft147">rekommendera till Försvarsmakten vilka produkter som bör bli föremål för </SPAN><NOBR>KSU-granskning</NOBR></P> <P class="p703 ft110"><SPAN class="ft110">i.</SPAN><SPAN class="ft138">ge ut vägledning och stöd vid val och avseende systemkonstruktion av lämpliga krypton som används i kritiska informationsinfrastrukturer och samhällsviktiga system</SPAN></P> <P class="p704 ft110"><SPAN class="ft110">j.</SPAN><SPAN class="ft138">ge ut årliga analyser kring allvarliga </SPAN><NOBR>it-incidenter</NOBR> i krypton samt vanligt förekommande handhavandefel av krypton, som ingångsvärden för en eventuell nationell kravställning.</P> <P class="p705 ft116">Regeringens uppdrag till FMV/CSEC</P> <P class="p691 ft110">FMV/CSEC ska ansvara för att</P> <P class="p607 ft110"><SPAN class="ft126">a.</SPAN><SPAN class="ft148">ta fram och utveckla regler för granskning av krypton i kritiska informationsinfrastrukturer och samhällsviktiga produkter och system enligt Common Criteria (CC)</SPAN></P> <P class="p706 ft143"><SPAN class="ft143">b.</SPAN><SPAN class="ft149">granska och godkänna evalueringsföretagens rapporter samt utfärda certifikat vid godkända evalueringar av krypton</SPAN></P> <P class="p707 ft110"><SPAN class="ft110">c.</SPAN><SPAN class="ft148">samverka internationellt för att utveckla en standard för granskning av </SPAN><NOBR>it-säkerhet</NOBR> och kryptering som motsvarar svenska behov</P> <P class="p652 ft110"><SPAN class="ft110">d.</SPAN><SPAN class="ft147">ge stöd till MSB vid utveckling av internationella och nationella PP:ar</SPAN><SPAN class="ft150">8</SPAN></P> <P class="p708 ft143"><SPAN class="ft126">e.</SPAN><SPAN class="ft146">utveckla CVP, vilket ska bestå av tilläggsregler för kryptogranskning inom ramen för Common Criteria, i de fall där internationell standard inte motsvarar svenska behov</SPAN></P> <P class="p709 ft110"><SPAN class="ft126">f.</SPAN><SPAN class="ft138">i samverkan med MSB, Försvarsmakten och FRA utarbeta ett förslag (med kostnader) för hur Sverige kan erhålla förmågan att utvärdera skyddsåtgärder i </SPAN><NOBR>it-produkter</NOBR> som ska motstå fysiska angrepp</P> <P class="p418 ft110"><SPAN class="ft126">g.</SPAN><SPAN class="ft148">på MSB:s uppdrag göra tilläggsgranskning av kommersiella kryptoprodukter baserat på CVP.</SPAN></P> <P class="p105 ft110"><SPAN class="ft140">8 </SPAN>Protection profile.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">316</P> </DIV> </DIV> <DIV id="page_317"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 4</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft116">Regeringens uppdrag till Försvarets radioanstalt (FRA)</P> <P class="p5 ft110">Försvarets radioanstalt (FRA) ska ansvara för att</P> <P class="p710 ft110"><SPAN class="ft126">a.</SPAN><SPAN class="ft148">analysera kryptotillämpningar på arkitekturnivå i syfte att ge stöd kring att fastställa en rimlig och komplett säkerhetslösning för givna applikationer och miljöer vid kravställning</SPAN></P> <P class="p652 ft110"><SPAN class="ft110">b.</SPAN><SPAN class="ft147">ge stöd till Försvarsmakten vid val av kryptografiska algoritmer, protokoll och standarder.</SPAN></P> <P class="p711 ft116">Regeringens uppdrag till Försvarsmakten</P> <P class="p5 ft110">Försvarsmakten ska ansvara för att</P> <P class="p712 ft110"><SPAN class="ft126">a.</SPAN><SPAN class="ft148">föreskriva vilka kryptografiska algoritmer, protokoll och standarder som får användas av statliga myndigheter</SPAN></P> <P class="p652 ft110"><SPAN class="ft110">b.</SPAN><SPAN class="ft147">genomföra kryptogranskning och </SPAN><NOBR>KSU-godkännande</NOBR></P> <P class="p713 ft110"><SPAN class="ft110">c.</SPAN><SPAN class="ft148">ge stöd till FMV/CSEC i deras arbete med utveckling av tilläggsregler för kryptogranskning inom ramen för Common Criteria</SPAN></P> <P class="p652 ft110"><SPAN class="ft110">d.</SPAN><SPAN class="ft147">ge stöd till MSB vid utveckling av internationella och nationella PP:ar.</SPAN></P> <P class="p696 ft116">Regeringens uppdrag till Kammarkollegiet</P> <P class="p714 ft110">Kammarkollegiet ska på uppdrag av MSB genomföra ramavtalsupphandlingar av</P> <P class="p652 ft110"><SPAN class="ft126">a.</SPAN><SPAN class="ft148">certifierade produkter</SPAN></P> <P class="p652 ft143"><SPAN class="ft143">b.</SPAN><SPAN class="ft149">systemintegratörer som kan krypto</SPAN></P> <P class="p652 ft110"><SPAN class="ft110">c.</SPAN><SPAN class="ft148">utbildningsorganisationer.</SPAN></P> <P class="p715 ft115">Regeringen bör utnämna utvecklingen av signalskydd till ett nationellt säkerhetsintresse</P> <P class="p716 ft110">Regeringen bör utpeka och anmäla till <NOBR>EU-kommissionen</NOBR> att utveckling och anskaffning av signalskydd utgör ett nationellt säkerhetsintresse inom försvars- och säkerhetsområdet.</P> <P class="p696 ft116">Resurser</P> <P class="p598 ft113">För att genomföra ovanstående åtgärder bedöms inledningsvis ett minimum av elva nya årsarbetskrafter tillföras myndigheterna, varav tre till MSB, tre till FM, två till FMV/CSEC, två till FRA samt en till Kammarkollegiet.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">317</P> </DIV> </DIV> <DIV id="page_318"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323318x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft109">Bilaga 1: Nulägesbeskrivning</P> <P class="p186 ft116">Vad är signalskydd och KSU?</P> <P class="p717 ft113">Signalskydd är åtgärder som syftar till att förhindra obehörig insyn i och påverkan av tele- och radiokommunikationer. Signalskydd omfattar bl.a. användning av kryptografiska funktioner i informationssystem. Termen signalskydd har sina rötter i den avlyssning genom signalspaning som ständigt pågår mot telekommunikations- och informationssystem som en väsentlig del av främmande makts underrättelsetjänst.</P> <P class="p718 ft113">Begreppet signalskydd är starkt reglerat och avser obligatoriskt skydd av elektronisk kommunikation av sekretessbelagda uppgifter som rör rikets säkerhet. Signalskyddssystemens skyddsnivå är dimensionerad att möta hotbilden från andra länders underrättelsetjänster och kräver därför omfattande skyddsåtgärder samt att systemen företrädesvis är framtagna av en inhemsk kryptoindustri.</P> <P class="p719 ft113">Behovet av att skydda elektronisk kommunikation i bredare mening än för rikets säkerhet har kommit att bli allt mer aktuellt. Därför har det på senare år tagits fram krypto för skyddsvärda uppgifter (KSU). KSU utgörs av kryptosystem som tillsammans med ett regelverk är nationellt godkända av Försvarsmakten och kan användas vid elektronisk kommunikation av sekretessbelagda uppgifter som inte rör rikets säkerhet. KSU är alltså ingen ersättning utan ett komplement till signalskydd. Termen ”säkra kryptografiska funktioner”<SPAN class="ft122">9 </SPAN>avser både signalskydd och KSU. Målsättningen med KSU är att kvalitetssäkrade och kommersiellt tillgängliga produkter, tillsammans med ett av Försvarsmakten framtaget regelverk och en för organisationen anpassad hantering, ska kunna höja säkerhetsnivån jämfört med i dag.</P> <P class="p720 ft113">För att system som använder säkra kryptografiska funktioner ska kunna ge ett effektivt skydd krävs att hela processen, allt från generering av kryptonycklar till slutanvändarnas hantering av systemet, håller en nivå som är anpassad för den information som systemet avser att skydda. Genom nationellt godkännande säkerställs skyddsnivån och kvaliteten på såväl teknik som regelverk, rutiner och behörighetsutbildning.</P> <P class="p721 ft114">Idag har över 160 organisationer godkända signalskyddssystem. För civilt bruk finns 17 godkända signalskyddssystem inom produktområdena datakommunikation, meddelandekrypton och talkrypton. Dessa system är gemensamma för Försvarsmakten och civila sektorn. Det finns endast ett godkänt <NOBR>KSU-krypto</NOBR> (filkryptot KGAI). Detta är dock det nationellt mest utbredda kryptosystemet.</P> <P class="p722 ft113">Traditionellt har signalskydd framförallt varit en militär angelägenhet, där det gällt att skydda sin egen kommunikation mot fientlig signalspaning. Historiskt har det militära behovet av signalskydd ensamt motiverat omfattande statliga satsningar på utveckling av signalskyddssystem.</P> <P class="p723 ft113">Det civila behovet har uppstått genom samordningsbehov mellan militärt och civilt försvar inom ramen för totalförsvaret. År 1959 skapades därför en totalförsvarsgemensam signalskyddsstruktur när Statens signalskyddsnämnd (SN) bildades. Efter det kalla kriget har inriktningen av den civila signalskyddsverksamheten även kopplats till krisberedskap. I 1992 års försvarsbeslut fick den civila delen av totalförsvaret även till uppgift att värna civilbefolkningen under kriser. I 1996 års</P> <P class="p724 ft110"><SPAN class="ft140">9 </SPAN>Termen ”Säkra kryptografiska funktioner” definieras i krisberedskapsförordningen SFS (2006:942) 4§ som ”kryptografiska funktioner godkända av Försvarsmakten”.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">318</P> </DIV> </DIV> <DIV id="page_319"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323319x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 4</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p725 ft113">försvarsbeslut kom det vidgade säkerhetsbegreppet. Definitionen av totalförsvaret ändrades inte utan insikten om samhällets säkerhet och den vidgade hotbilden ledde fram till Sårbarhets- och säkerhetsutredningen 2001. Ansvaret för den civila inriktningen och materielförsörjningen övertogs av Krisberedskapsmyndigheten (KBM) från Överstyrelsen för civil beredskap när KBM inrättades 2002. När KBM lades ned 2008 övergick inriktningsansvaret för den civila signalskyddsverksamheten till den nybildade myndigheten MSB och materielförsörjningen till FRA. Den civila signalskyddsverksamheten regleras i krisberedskapsförordningen.</P> <P class="p726 ft114">År 2007 fick Försvarsmakten i myndighetens instruktion uppdraget att, utöver signalskyddstjänsten, även leda och samordna arbetet med säkra kryptografiska funktioner som är avsedda att skydda skyddsvärd information. Detta uppdrag föranledde dock ingen ökad tilldelning av medel.</P> <P class="p655 ft113">Under senare år har behovet av kryptografiska funktioner för internationell verksamhet ökat markant, särskilt inom EU och NATO. Under 2011 blev Sverige en godkänd <NOBR>andraparts-evaluerare</NOBR> av krypto inom EU. Denna funktion, AQUA (Appropriately Qualified Authority), innehas av Försvarsmakten. Det finns idag fem svenska kryptosystem som godkänts av Europeiska unionens råd.</P> <P class="p483 ft116">Myndigheternas ansvar</P> <P class="p10 ft145">Försvarsmakten (FM)</P> <P class="p668 ft113">Försvarsmakten ska leda och samordna signalskyddstjänsten, inklusive arbetet med säkra kryptografiska funktioner som är avsedda att skydda skyddsvärd information (KSU)<SPAN class="ft122">10</SPAN>. Försvarsmakten ska också biträda Regeringskansliet i frågor som rör kryptoverksamhet och annan signalskyddsverksamhet<SPAN class="ft122">11</SPAN>. Detta är en olycklig skrivning eftersom säkra kryptografiska funktioner här definieras som en delmängd av signalskyddet medan säkra kryptografiska funktioner i krisberedskapsförordningen definieras som signalskydd och KSU. Försvarsmakten arbetar därför för att få till ett förtydligande i instruktionen till FM.</P> <P class="p727 ft114">Försvarsmakten får meddela övriga statliga myndigheter föreskrifter i frågor om signalskyddstjänsten inklusive säkra kryptografiska funktioner inom totalförsvaret, förutom i fråga om verkställigheten av 33 § förordningen (2006:942) om krisberedskap och höjd beredskap<SPAN class="ft141">12</SPAN>.</P> <P class="p692 ft113">Försvarsmakten beställer all utveckling och vidmakthållande av signalskyddsmateriel samt leder och samordnar kravställning, utveckling, granskning, godkännande, drift och avveckling av signalskyddssystem. I detta arbete har myndigheten ett tydligt ansvar att ta fram en relevant hotbild och korrekta säkerhetskrav som ska möta denna hotbild. Försvarsmakten anskaffar också löpande färdigutvecklad signalskyddsmateriel för eget och till viss del för andra myndigheters<SPAN class="ft122">13 </SPAN>behov<SPAN class="ft122">14</SPAN>. Alla Försvarsmaktens beställningar inom detta område går till FMV.</P> <P class="p728 ft114">Försvarsmakten producerar och distribuerar totalförsvarets behov av kryptonycklar, aktiva kort och certifikat. FRA stödjer genom att ombesörja beställningar och distribution till de civila myndigheter som själva inte har tillgång till Försvarsmaktens system.</P> <P class="p335 ft110"><SPAN class="ft123">10</SPAN><SPAN class="ft124">Förordning (2007:1266) med instruktion till Försvarsmakten, 3 b § punkt 3.</SPAN></P> <P class="p178 ft143"><SPAN class="ft123">11</SPAN><SPAN class="ft142">Förordning (2007:1266) med instruktion till Försvarsmakten, 3 b § punkt 4.</SPAN></P> <P class="p178 ft152"><SPAN class="ft123">12</SPAN><SPAN class="ft151">Förordning (2007:1266) med instruktion till Försvarsmakten, 33 §.</SPAN></P> <P class="p729 ft143"><SPAN class="ft123">13</SPAN><SPAN class="ft142">Försvarets materielverk, Försvarshögskolan, Totalförsvarets forskningsinstitut, Fortifikationsverket och Totalförsvarets rekryteringsmyndighet.</SPAN></P> <P class="p178 ft110"><SPAN class="ft123">14</SPAN><SPAN class="ft124">Förordning (2006:942) om krisberedskap och höjd beredskap, 32 §.</SPAN></P> </DIV> <DIV id="id_3"> <P class="p4 ft20">319</P> </DIV> </DIV> <DIV id="page_320"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323320x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p730 ft113">I rollen att leda och samordna ingår förutom att utarbeta föreskrifter<SPAN class="ft122">15 </SPAN>att fastställa krav på utbildningsnivåer och annat erforderligt regelverk. Försvarsmakten utbildar personal vid Regeringskansliet, statliga myndigheter och Försvarsmaktens organisationsenheter i syfte att uppnå de behörigheter som behövs för att få verka inom signalskyddstjänsten. Man följer också upp signalskyddstjänstens verksamhet genom återkommande kontroller.</P> <P class="p731 ft113">Försvarsmakten<SPAN class="ft122">16 </SPAN>stödjer UD/NSA (National Security Authority), NCSA/CAA (National Communications Security Authority/Crypto Approval Authority), NDA (National Distribution Authority) samt TA (Tempest Authority) och tecknar med bemyndigande från Regeringskansliet <NOBR>COMSEC-avtal</NOBR> (Communications Security) med andra länder. Av Europeiska Unionens råds beslut om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade <NOBR>EU-uppgifter</NOBR> framgår bland annat att kryptoprodukter för skydd av sådana uppgifter ska vara godkända av en medlemsstats nationella kryptogodkännande organisation (CAA) samt ha genomgått en andra granskning, en s.k. andrapartsevaluering, av en AQUA (Appropriately Qualified Authority) innan produkten godkänns av rådet. En AQUA utnämns av rådet på grundval av kriterier som rådet fastställt och innebär att organisationen har teknisk kompetens och goda processer inom kryptoområdet som gör den lämplig att genomföra kryptoevalueringar. I Sverige är Försvarsmakten CAA och även utnämnd till AQUA såsom ett av sex länder. Nationellt får dock medlemsstaterna godkänna signalskyddssystem för skydd av <NOBR>EU-sekretess</NOBR> upp till och med nivån EU Confidential.</P> <P class="p732 ft114">Försvarsmakten har även godkänts av NATO för att godkänna system för skydd av <NOBR>NATO-sekretess</NOBR> upp till och med nivån NATO Confidential.</P> <P class="p733 ft114">Försvarsmakten har också uppgiften att på uppdrag av Försvarsexportmyndigheten stödja den svenska kryptoindustrin med export av svenska kryptosystem.</P> <P class="p94 ft145">Myndigheten för samhällsskydd och beredskap (MSB)</P> <P class="p734 ft113">MSB har uppgiften att inrikta civila myndigheters signalskyddsverksamhet och arbete med de säkra kryptografiska funktioner som är nationellt godkända. Genom att nyttja nationellt godkända kryptografiska funktioner ges Regeringskansliet, myndigheter och andra samhällsviktiga verksamheter förmåga till säkert tvärsektoriellt informationsutbyte.</P> <P class="p735 ft113">MSB är bemyndigat av regeringen<SPAN class="ft122">17 </SPAN>att besluta om vilka myndigheter som ska kunna kommunicera med kryptografiska funktioner, utöver de som regeringen pekat ut i krisberedskapsförordningen. Dessutom kan MSB besluta om och ingå avtal med de kommuner, organisationer och företag som ska tilldelas säkra kryptografiska funktioner. I krisberedskapsförordningen har regeringen pekat ut följande myndigheter: Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Kustbevakningen, Försvarshögskolan, Totalförsvarets forskningsinstitut, Fortifikationsverket, Totalförsvarets pliktverk, Myndigheten för samhällsskydd och beredskap samt Regeringskansliet.</P> <P class="p736 ft110"><SPAN class="ft123">15</SPAN><SPAN class="ft124">FFS 2005:2 Förvarsmaktens föreskrifter om signalskyddstjänsten inom totalförsvaret.</SPAN></P> <P class="p178 ft143"><SPAN class="ft123">16</SPAN><SPAN class="ft142">Egentligen Avdelningen för Krypto och </SPAN><NOBR>IT-säkerhet</NOBR> vid MUST.</P> <P class="p737 ft110"><SPAN class="ft123">17</SPAN><SPAN class="ft153">I enlighet med 31§ förordningen 2006:942 om krisberedskap och höjd beredskap med ändringen SFS 2008:1003.</SPAN></P> </DIV> <DIV id="id_3"> <P class="p4 ft20">320</P> </DIV> </DIV> <DIV id="page_321"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323321x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 4</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p738 ft114">MSB:s beslut effektueras av Försvarets radioanstalt. MSB föreskriver<SPAN class="ft141">18 </SPAN>om den signalskydds- beredskap som gäller för de myndigheter och organisationer som tilldelats signalskydd.</P> <P class="p739 ft113">MSB har det övergripande ansvaret att leda och samordna arbetet med säkra kryptografiska funktioner för civila aktörer. I detta ingår att vara kravställare gentemot Förvarsmakten vid utveckling av nya system samt anskaffa och besluta om tilldelning.</P> <P class="p483 ft145">Försvarets radioanstalt (FRA)</P> <P class="p740 ft114">FRA stödjer statliga myndigheter, statligt ägda bolag samt samhällsviktiga företag som hanterar information vilken bedöms vara känslig ur krishanteringssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende. FRA ger tekniskt stöd avseende signalskyddsverksamheten och säkra kryptografiska funktioner.</P> <P class="p741 ft113">FRA har uppgiften<SPAN class="ft122">19 </SPAN>att tilldela Försvarets radioanstalt, Kustbevakningen, MSB och Regeringskansliet säkra kryptografiska funktioner. FRA tilldelar också säkra kryptografiska funktioner till de myndigheter som MSB beslutar om ska ha det samt företag, kommuner och organisationer som efter överenskommelse ska få tillgång till eller ingå avtal om tilldelning. Tilldelning innefattar materiel och användarstöd, nycklar och certifikat samt samordning och utbildning.</P> <P class="p742 ft114">Användare som tilldelats kryptosystem ska ges särskild utbildning i handhavande av materiel och kryptonycklar. FRA ansvarar för att civila användare kan ges den signalskyddsutbildning som föreläggs. FRA har en av tre nationellt godkända kryptoverkstäder samt civilt användarstöd för signalskydd och KSU.</P> <P class="p743 ft113">Civila myndigheter och samhällsviktiga verksamheter som inte själva kan beställa kryptonycklar, aktiva kort och servercertifikat av Försvarsmakten beställer dessa via FRA. FRA distribuerar aktiva kort och servercertifikat till civila myndigheter och företag.</P> <P class="p744 ft113">FRA upphandlar utbildning för civila myndigheter av Totalförsvarets signalskyddsskola (TSS). FRA har behöriga lärare som genomför utbildning vid akuta eller särskilda behov. FRA deltar även vid inriktning av TSS.</P> <P class="p745 ft114">FRA:s kryptologer stödjer Försvarsmakten med matematiska bedömningar av nya kryptoalgoritmer genom den så kallade kryptopoolen som har funnits sedan <NOBR>80-talet.</NOBR></P> <P class="p746 ft145">Försvarets materielverk (FMV)</P> <P class="p747 ft113">FMV:s uppgift är att utveckla och anskaffa signalskyddsmateriel för textskydd, trafikskydd, intrångsskydd, behörighetskontroll m.m. i enlighet med uppdrag från Försvarsmakten. Signalskyddsmaterielen nyttjas inom hela totalförsvaret.</P> <P class="p748 ft113">Huvuduppdragsgivare för utveckling samt anskaffning inom området är Försvarsmakten samt MSB/FRA. Dessutom genomförs anskaffning av aktuellt materiel på uppdrag av FMV, FRA, FOI, PTS, UD m.fl. FMV har även uppdraget att samordna signalskyddsverksamheten inom försvarsindustrin.</P> <P class="p749 ft143"><SPAN class="ft123">18</SPAN><SPAN class="ft142">MSBFS 2009:11 Myndigheten för samhällsskydd och beredskaps föreskrifter om civila myndigheters kryptoberedskap.</SPAN></P> <P class="p178 ft110"><SPAN class="ft123">19</SPAN><SPAN class="ft124">I enlighet med 32§ förordningen 2006:942 om krisberedskap och höjd beredskap med ändringen 2008:1003.</SPAN></P> </DIV> <DIV id="id_3"> <P class="p4 ft20">321</P> </DIV> </DIV> <DIV id="page_322"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323322x1.jpg/" id="img1"> </DIV> <DIV class="dclr"></DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft145">Sveriges Certifieringsorgan för <NOBR>IT-säkerhet</NOBR> vid FMV (CSEC)</P> <P class="p750 ft114">Sveriges Certifieringsorgan för <NOBR>IT-säkerhet</NOBR> (CSEC) är en självständig enhet vid Försvarets materielverk som verkar som nationellt certifieringsorgan för granskning av <NOBR>it-säkerhet</NOBR> i produkter och system enligt den internationella standarden Common Criteria (ISO/IEC 15408). Syftet är att säkerställa att säkerhetsfunktioner i certifierade <NOBR>it-produkter</NOBR> verkligen ger det skydd som utlovats.</P> <P class="p751 ft113">CSEC utfärdar regler för hur kommersiella evalueringsföretag under myndighetens tillsyn granskar säkerhet i <NOBR>it-produkter.</NOBR> Reglerna omfattar bl.a. metoder för sårbarhetsanalyser, penetrationstester, kryptoverifiering, kontroll av produktleverantörens metodik, analys av design- och användar- dokumentation, funktionstester samt användning av automatiska analysverktyg. Exempel på pågående certifieringsuppdrag: säker kortläsare, dataslussar, brandväggar, säkra skrivare och VPN- system.</P> <P class="p752 ft114">FMV/CSEC fick 2009 Försvarsmaktens uppdrag att utveckla kompletterande regler för hur krypto kan granskas inom ramen för CSEC:s certifieringsordning. Ett förslag levererades till Försvarsmakten 2011.</P> <P class="p753 ft113">Inom ramen för den nationella handlingsplanen för informationssäkerhet har FMV/CSEC i samverkan med Försvarsmakten och MSB vidareutvecklat förslaget. Det vidareutvecklade kryptogransknings- regelverket kallas Cryptographic Validation Program (CVP) och kan utgöra grunden för hur kommersiella produkter genom certifiering vid CSEC enligt dessa kryptoregler kan ligga till grund för ett <NOBR>KSU-godkännande</NOBR> från Försvarsmakten.</P> <P class="p754 ft114">Inom ramen för den nationella handlingsplanen för informationssäkerhet har även FMV/CSEC i samverkan med Försvarsmakten och FRA påbörjat en studie för att analysera förutsättningarna för ett nationellt evalueringslaboratorium med nödvändig kompetens och utrustning för att analysera fysiska attacker mot information i datorutrustning.</P> <P class="p81 ft116">Kryptoindustrin</P> <P class="p755 ft113">Förmågan att ta fram kryptosystem för att skydda hemlig information som rör rikets säkerhet finns i dag i Sverige inte minst hos de svenska kryptoleverantörerna. Den samlade kryptokunskapen ger Sverige ett informationsövertag. För att nå höga assuransnivåer för de nationella system som skyddar rikets säkerhet eller utrikessekretess måste kunskapen om systemlösningarna omges av sträng sekretess, något som endast kan upprätthållas med nationellt framtagna lösningar. En egen svensk kryptoindustri är fundamental för att kunna ha möjligheten att utveckla signalskyddssystem. Utan en livskraftig svensk kryptoindustri riskerar nationella säkerhetsintressen att i allt högre grad bli beroende av utländska leverantörer. Detta skulle utgöra ett allvarligt hot mot den svenska säkerheten eftersom Sverige inte kan få samma tilltro till en produkt från en utländsk industri som en från en svensk leverantör.</P> <P class="p756 ft114">Svenska kryptoprodukter håller vid internationell jämförelse en mycket hög nivå som det tar decennier att utveckla och svenska kryptoprodukter har en växande marknad framför sig, främst inom Europa. Även det faktum att Sverige är en godkänd <NOBR>andraparts-evaluerare</NOBR> av krypto inom EU (AQUA) kräver att vi har en inhemsk kryptoindustri. Det är därför av stor vikt att värna om denna förmåga.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">322</P> </DIV> </DIV> <DIV id="page_323"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 4</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p617 ft113">En svensk kryptoindustri är således av nationellt intresse. De svenska kryptoföretagen, nuvarande som framtida, som vill leverera kryptolösningar för nationella behov måste ges förutsättningar att långsiktigt bedriva sin verksamhet så att detta gagnar såväl dem som nationen. Att upprätthålla denna typ av kompetens är dyrt och för att industrin ska känna sig tillräckligt trygg för att fortsätta satsa på att utveckla och vidmakthålla signalskyddssystem på en hög nivå så måste det finnas en uttalad vilja hos nationen Sverige att efterfråga denna kompetens. Detta skulle exempelvis kunna åstadkommas med att göra signalskydd till ett nationellt säkerhetsintresse.</P> <P class="p190 ft116">Signalskyddsprocessen</P> <P class="p757 ft113">Försvarsmakten svarar för utvecklingen av nationellt godkända kryptosystem genom att fastställa de målsättningar och kravspecifikationer som gäller för de system som ska utvecklas. All utveckling och vidmakthållande av signalskydd för hela totalförsvaret finansieras av Försvarsmaktens materielanslag. De system som utvecklas säkerhetsgranskas av Försvarsmakten som sedan godkänner systemen för skydd av information upp till en viss klassningsnivå, nationellt och internationellt. Systemen följs sedan upp under hela sin livstid för att dessa ska behålla sin skyddsnivå.</P> <P class="p727 ft113">Försvarsmakten leder utvecklingsarbetet och MSB deltar i kravställningsarbetet som representant för det civila samhället. Behov av utveckling av nya system ställs av Försvarsmakten, MSB eller FRA till Försvarsmakten. Försvarsmakten beställer nya system av FMV som i sin tur upphandlar av industrin. Under utvecklingsarbetet deltar Försvarsmakten aktivt med löpande avdömningar för att i slutändan kunna granska och godkänna leveransen.</P> <P class="p758 ft113">Försvarsmakten följer teknikutvecklingen av framtida metoder och system för kommunikation samt kommande kryptolösningar. MSB deltar i Försvarsmaktens process för utveckling av nya system genom att föra in kraven från civila myndigheter i Försvarsmaktens arbete med målsättningar och kravspecifikationer. MSB har en referensgrupp med representanter från civila myndigheter för att få en tydligare bild av behoven på kort och lång (10 års) sikt.</P> <P class="p759 ft114">När systemen är utvecklade, godkända och tillgängliga att beställa uppdaterar MSB sin materielplan för anskaffning av säkra kryptografiska funktioner och detta utgör sedan ett inriktningsbeslut till FRA över vilka system som ska köpas in. FRA lämnar uppdrag till FMV att anskaffa det fastställda behovet av säkra kryptografiska funktioner. Då leverans sker fördelar FRA systemen till de aktörer som MSB har beslutat.</P> <P class="p760 ft113">MSB beslutar vilka aktörer inom krisberedskapen som ska ha signalskydd och KSU för tvärsektoriell samverkan. MSB ska också ingå avtal med kommuner och organisationer som har behov av säkra kryptografiska funktioner, vilket innebär att dessa aktörer förbinder sig att följa gällande regelverk för signalskydd.</P> <P class="p744 ft113">Krisberedskapsanslaget <NOBR>(2:4-anslaget)</NOBR> täcker kostnader av engångskaraktär såsom genomförande av olika projekt inom området samt anskaffning av kryptomateriel som är beslutade av MSB. Varje myndighet är ansvarig för att finansiera skydd av information och intern kommunikation. Kryptosystem för samverkan mellan myndigheter kan finansieras med anslag 2:4 Krisberedskap. FRA förser myndigheter med nationellt godkända krypton i båda fallen.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">323</P> </DIV> </DIV> <DIV id="page_324"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323324x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft116"><NOBR>KSU-processen</NOBR></P> <P class="p761 ft113">Processen och finansieringen av KSU är idag desamma som för signalskydd. Anledningen till detta är snarare avsaknad av en anpassad process för KSU än en uttalad ambition att följa signalskydds- processen. Arbete med den nya processen för KSU pågår i ett samarbete mellan Försvarsmakten, MSB och FRA.</P> <P class="p762 ft113">Signalskyddsmateriel för den civila sidan finansieras idag till cirka 90 procent genom <NOBR>2:4-anslag,</NOBR> vilket innebär att de är avsedda för krisberedskap och samverkan mellan myndigheter. För KSU är behovet det omvända eftersom det huvudsakliga behovet inte täcks av principerna för <NOBR>2:4-anslaget.</NOBR> Detta innebär att organisationerna själva måste finansiera <NOBR>KSU-anskaffning.</NOBR></P> <P class="p763 ft114">För närvarande finns ett filkrypto godkänt som KSU. Detta är emellertid ett av de mest utbredda godkända kryptosystemen i det civila samhället. Ett <NOBR>80-tal</NOBR> myndigheter, organisationer och företag har idag KSU.</P> <P class="p764 ft113">Enligt den nationella handlingsplanen<SPAN class="ft122">20 </SPAN>för informationssäkerhet bör det utvecklas ytterligare kryptosystem för nivån KSU avsedda för till exempel mobil tal- och datakommunikation, förbindelsekryptering över Virtuella Privata Nät (VPN) samt för kryptering av <NOBR>USB-minnen.</NOBR> Målet är att KSU ska byggas ut och få sådan spridning att skyddsvärd information som hanteras i myndigheter, landsting, kommuner och andra organisationer skyddas med krypto för skyddsvärda uppgifter.</P> <P class="p765 ft113">Alternativet till KSU är allmänt tillgängliga kommersiella produkter. Fördelarna med dessa är att det finns ett stort utbud och anskaffningen är enkel. Nackdelarna med kommersiellt tillgängliga produkter i jämförelse med KSU är att de inte är nationellt granskade eller godkända och därför tyvärr alltför ofta inte levererar den säkerhetsfunktionalitet de utlovar. Eftersom anskaffning av dessa produkter inte heller kräver nationell samordning mellan organisationer skapas heller inga gemensamma system för säker kommunikation mellan organisationer.</P> <P class="p766 ft156"><SPAN class="ft140">20 </SPAN>Samhällets <SPAN class="ft154">informationssäkerhet</SPAN><SPAN class="ft155">. </SPAN><SPAN class="ft154">Nationell handlingsplan </SPAN>2012. Myndigheten för samhällsskydd och beredskap (MSB).</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">324</P> </DIV> </DIV> <DIV id="page_325"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 4</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft109">Bilaga 2: Författningssamling</P> <P class="p767 ft113">Nedan sammanfattas de uppdrag som FMV, FRA, FM och MSB har gällande signalskydd och kryptografiska funktioner. Informationen kommer från instruktioner, regleringsbrev och andra författningar.</P> <P class="p483 ft116">Försvarets materielverk (FMV)</P> <P class="p5 ft157">Förordning (2007:854) med instruktion för Försvarets materielverk</P> <P class="p768 ft113">5 § Vid Försvarets materielverk finns ett certifieringsorgan som ska upprätta och driva en certifieringsordning för säkerhet i <NOBR>IT-produkter</NOBR> och system. Försvarets materielverk ska verka för att uppnå och vidmakthålla internationellt erkännande för utfärdade certifikat.</P> <P class="p483 ft116">Försvarets radioanstalt (FRA)</P> <P class="p5 ft157">Förordning (2007:937) med instruktion för Försvarets radioanstalt</P> <P class="p10 ft110">2 § Försvarets radioanstalt ska särskilt</P> <P class="p6 ft110">3. utföra matematiska bedömningar av kryptosystem för totalförsvaret.</P> <P class="p769 ft114">4 § Försvarets radioanstalt ska ha hög teknisk kompetens inom informationssäkerhetsområdet. Försvarets radioanstalt får efter begäran stödja sådana statliga myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende. Försvarets radioanstalt ska särskilt kunna</P> <P class="p770 ft110"><SPAN class="ft110">1.</SPAN><SPAN class="ft148">stödja insatser vid nationella kriser med </SPAN><NOBR>IT-inslag,</NOBR></P> <P class="p771 ft114"><SPAN class="ft126">2.</SPAN><SPAN class="ft158">medverka till identifieringen av inblandade aktörer vid </SPAN><NOBR>IT-relaterade</NOBR> hot mot samhällsviktiga system,</P> <P class="p772 ft110"><SPAN class="ft126">3.</SPAN><SPAN class="ft148">genomföra </SPAN><NOBR>IT-säkerhetsanalyser,</NOBR> och</P> <P class="p773 ft110"><SPAN class="ft126">4.</SPAN><SPAN class="ft148">ge annat tekniskt stöd.</SPAN></P> <P class="p774 ft114">Försvarets radioanstalt ska samverka med andra organisationer inom informationssäkerhetsområdet såväl inom som utom landet.</P> <P class="p746 ft157">Förordning (2006:942) om krisberedskap och höjd beredskap</P> <P class="p775 ft113">32 § Försvarsmakten svarar för att Försvarsmakten, Försvarets materielverk, Försvarshögskolan, Totalförsvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet och Fortifikationsverket tilldelas säkra kryptografiska funktioner. Försvarets radioanstalt svarar för att övriga som enligt 31 § ska ha säkra kryptografiska funktioner tilldelas sådana.</P> <P class="p776 ft159">Regleringsbrev för budgetåret 2014 avseende Försvarets radioanstalt</P> <P class="p777 ft114">4 § Försvarets radioanstalt ska upprätthålla kompetensen för de nationella behoven avseende kryptologi.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">325</P> </DIV> </DIV> <DIV id="page_326"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p4 ft116">Försvarsmakten (FM)</P> <P class="p5 ft157">Förordning (2007:1266) med instruktion för Försvarsmakten</P> <P class="p10 ft110">3 b § Försvarsmakten ska särskilt</P> <P class="p48 ft110"><SPAN class="ft110">1.</SPAN><SPAN class="ft148">leda och bedriva militär säkerhetstjänst</SPAN></P> <P class="p778 ft114"><SPAN class="ft110">2.</SPAN><SPAN class="ft158">leda och samordna signalskyddstjänsten, inklusive arbetet med säkra kryptografiska funktioner som är avsedda att skydda skyddsvärd information,</SPAN></P> <P class="p779 ft110"><SPAN class="ft110">3.</SPAN><SPAN class="ft148">biträda Regeringskansliet i frågor som rör kryptoverksamhet och annan signalskyddsverksamhet.</SPAN></P> <P class="p780 ft113">33 § Försvarsmakten får meddela övriga statliga myndigheter föreskrifter i frågor om signalskyddstjänsten inklusive säkra kryptografiska funktioner inom totalförsvaret, förutom i fråga om verkställigheten av 33 § förordningen (2006:942) om krisberedskap och höjd beredskap.</P> <P class="p483 ft157">Säkerhetsskyddslag (1996:627)</P> <P class="p722 ft114">33 § Regeringen eller den myndighet som regeringen utser meddelar de närmare föreskrifter som behövs för lagens tillämpning (1996:627).</P> <P class="p94 ft157">Säkerhetsskyddsförordning (1996:633)</P> <P class="p10 ft110">13 § Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten.</P> <P class="p781 ft114">44 § Rikspolisstyrelsen och Försvarsmakten får meddela ytterligare föreskrifter om verkställigheten av säkerhetsskyddslagen (1996:627) för sina respektive tillsynsområden enligt 39 §.</P> <P class="p782 ft114">Första stycket gäller inte omfattningen av inventeringen av hemliga handlingar enligt 9 § andra stycket.</P> <P class="p783 ft114">45 § Myndigheterna skall meddela ytterligare föreskrifter om verkställigheten av säkerhetsskydds- lagen (1996:627) i fråga om säkerhetsskyddet inom sina verksamhetsområden, om det inte är uppenbart obehövligt. Om det behövs skall myndigheterna innan dess samråda med den myndighet som enligt 43 och 44 §§ meddelar föreskrifter för myndighetens område.</P> <P class="p722 ft113">Myndigheternas föreskrifter får avvika från föreskrifterna enligt 43 och 44 §§ endast om detta har medgivits av den myndighet som har meddelat dessa föreskrifter.</P> <P class="p482 ft157">Förordning (2006:942) om krisberedskap och höjd beredskap</P> <P class="p784 ft113">32 § Försvarsmakten svarar för att Försvarsmakten, Försvarets materielverk, Försvarshögskolan, Totalförsvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet och Fortifikationsverket tilldelas säkra kryptografiska funktioner. Försvarets radioanstalt svarar för att övriga som enligt 31 § ska ha säkra kryptografiska funktioner tilldelas sådana.</P> <P class="p190 ft116">Myndigheten för samhällsskydd och beredskap (MSB)</P> <P class="p691 ft157">Förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap</P> <P class="p785 ft114">1 § Myndigheten för samhällsskydd och beredskap har ansvar för frågor om skydd mot olyckor, krisberedskap och civilt försvar, i den utsträckning inte någon annan myndighet har ansvaret. Ansvaret avser åtgärder före, under och efter en olycka eller en kris.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">326</P> </DIV> </DIV> <DIV id="page_327"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 4</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p786 ft113">7 § Myndigheten ska ha förmågan att bistå med stödresurser i samband med allvarliga olyckor och kriser samt stödja samordningen av berörda myndigheters åtgärder vid en kris. Myndigheten ska se till att berörda aktörer vid en kris får tillfälle att</P> <P class="p45 ft110"><SPAN class="ft110">1.</SPAN><SPAN class="ft148">samordna krishanteringsåtgärderna,</SPAN></P> <P class="p773 ft110"><SPAN class="ft126">2.</SPAN><SPAN class="ft148">samordna information till allmänhet och media,</SPAN></P> <P class="p772 ft110"><SPAN class="ft126">3.</SPAN><SPAN class="ft148">effektivt använda samhällets samlade resurser och internationella förstärkningsresurser, och</SPAN></P> <P class="p772 ft110"><SPAN class="ft110">4.</SPAN><SPAN class="ft147">samordna stödet till centrala, regionala och lokala organ i fråga om information och lägesbilder.</SPAN></P> <P class="p787 ft114">Myndigheten ska ha förmågan att bistå Regeringskansliet med underlag och information i samband med allvarliga olyckor och kriser.</P> <P class="p788 ft113">11 a § Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Myndigheten ska även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan leda till behov av åtgärder inom olika nivåer och områden i samhället.</P> <P class="p789 ft114">Myndigheten ska vidare svara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera <NOBR>IT-incidenter.</NOBR> Myndigheten ska i detta arbete:</P> <P class="p790 ft113"><SPAN class="ft110">1.</SPAN><SPAN class="ft160">agera skyndsamt vid inträffade </SPAN><NOBR>IT-incidenter</NOBR> genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade,</P> <P class="p791 ft110"><SPAN class="ft110">2.</SPAN><SPAN class="ft147">samverka med myndigheter med särskilda uppgifter inom informationssäkerhetsområdet, och</SPAN></P> <P class="p792 ft114"><SPAN class="ft110">3.</SPAN><SPAN class="ft161">vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder samt utveckla samarbetet och informationsutbytet med dessa (förordning 2010:1901).</SPAN></P> <P class="p746 ft157">Förordning (2006:942) om krisberedskap och höjd beredskap</P> <P class="p793 ft113">30a § Varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Därvid ska behovet av säkra ledningssystem särskilt beaktas.</P> <P class="p794 ft113">31 § Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Kustbevakningen, Försvarshögskolan, Totalförsvarets forskningsinstitut, Fortifikationsverket, Totalförsvarets rekryteringsmyndighet, Myndigheten för samhällsskydd och beredskap och Regeringskansliet ska ha säkra kryptografiska funktioner. Myndigheten för samhällsskydd och beredskap beslutar vilka övriga myndigheter som ska ha säkra kryptografiska funktioner.</P> <P class="p795 ft113">Myndigheten för samhällsskydd och beredskap beslutar även vilka företag som efter överenskommelse ska få tillgång till säkra kryptografiska funktioner. Myndigheten för samhällsskydd och beredskap får därutöver ingå avtal om tilldelning med kommuner och organisationer som har behov av säkra kryptografiska funktioner.</P> <P class="p776 ft110">34 § Myndigheten för samhällsskydd och beredskap får</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">327</P> </DIV> </DIV> <DIV id="page_328"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 4</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p796 ft114"><SPAN class="ft110">1.</SPAN><SPAN class="ft158">meddela de ytterligare föreskrifter som behövs för verkställigheten av 9 § om risk- och sårbarhetsanalyser,</SPAN></P> <P class="p797 ft114"><SPAN class="ft110">2.</SPAN><SPAN class="ft158">meddela föreskrifter om sådana säkerhetskrav som avses i 30 a § med beaktande av nationell och internationell standard, samt</SPAN></P> <P class="p798 ft113"><SPAN class="ft110">3.</SPAN><SPAN class="ft162">meddela de ytterligare föreskrifter som behövs för verkställigheten av </SPAN><NOBR>16-20</NOBR> samt 33 §§, utom i fråga om Försvarets materielverk, Försvarets radioanstalt, Kustbevakningen, Försvarshögskolan, Totalförsvarets forskningsinstitut och Fortifikationsverket.</P> <P class="p482 ft110">I 3 § finns undantag från 34 §.</P> <P class="p799 ft113">3 § Bestämmelserna i <NOBR>5-22</NOBR> och <NOBR>33-34</NOBR> §§ gäller för statliga myndigheter under regeringen, med undantag av Regeringskansliet, kommittéväsendet och Försvarsmakten. För utlandsmyndigheterna tillämpas bestämmelserna endast i den utsträckning som bestäms i föreskrifter som meddelas av Regeringskansliet.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">328</P> </DIV> </DIV> <DIV id="page_329"> <DIV id="id_1"> <P class="p554 ft21">Bilaga 5</P> <P class="p800 ft40">Strategi för statens informations- och cybersäkerhet</P> <P class="p801 ft13">Syftet med denna strategi är att ange grundläggande målsättningar, färdriktningar och arbetssätt för informationssäkerhet i svenska staten. En mängd olika aktörer i staten behöver en gemensam förståelse för informationssäkerhet, vad den syftar till och hur framtida säkerhetsinsatser ska inriktas och utformas. Främst berörda är regeringen och myndighetscheferna, som har att fatta besluten som genomför strategin i verksamheten, men också de som arbetar med informationssäkerhet på olika nivåer, beslutsfattare i offentlig förvaltning och i de delar av näringslivet som säljer varor och tjänster till den, de som arbetar med it eller generell säkerhet, men också de enskilda medborgarna, som är beroende av att staten hanterar information om och för dem på ett säkert sätt.</P> <P class="p802 ft8">Strategin anger strategiska mål och strategiska områden för informations- och cybersäkerhetsarbete. Inom de strategiska områdena anges de initiativ och åtgärder som föreslagits i betänkandet.</P> <P class="p803 ft33">Strategiska mål</P> <P class="p804 ft13">Informations- och cybersäkerhet är en stödjande verksamhet för att öka kvaliteten hos statens funktioner samtidigt som det är en nödvändig verksamhet för att garantera att lagstiftning från regering och riksdag (såsom all integritetsskyddande lagstiftning) verkligen genomförs. Ytterst handlar det om att slå vakt grundläggande värden och mål i vårt samhälle, såsom demokrati, personlig integritet, ekonomisk tillväxt samt politisk stabilitet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">329</P> </DIV> </DIV> <DIV id="page_330"> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 5</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p341 ft10">Målet är att uppnå en god informations- och cybersäkerhet i statsförvaltningen som främjar:</P> <P class="p342 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">medborgares fri- och rättigheter samt personliga integritet</SPAN></P> <P class="p246 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">statsförvaltningens funktionalitet, effektivitet och kvalitet</SPAN></P> <P class="p212 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">brottsbekämpningen</SPAN></P> <P class="p213 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">statens förmåga att förebygga och hantera allvarliga störningar och kriser</SPAN></P> <P class="p213 ft10"><SPAN class="ft41"></SPAN><SPAN class="ft42">näringslivets tillväxt, genom att staten blir en både skicklig och tydlig kravställare.</SPAN></P> <P class="p805 ft37">Med strategin tas en rad initiativ för att stärka cyber- och informationssäkerheten i Sverige. Initiativen faller inom sex områden.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">330</P> </DIV> </DIV> <DIV id="page_331"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323331x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 5</P></TD> </TR> </TABLE> <P class="p105 ft33">FÖRSLAG TILL STRATEGI OCH ÅTGÄRDER</P> <P class="p806 ft16">1. Styrning och tillsyn av informationssäkerheten i staten stärks.</P> <P class="p476 ft8">Arbetet med informationssäkerhet professionaliseras och tillsynen över de statliga myndigheterna stärks.</P> <P class="p807 ft8">En nationell styrmodell för informationssäkerhet i samhället etableras.</P> <P class="p92 ft8">Regeringen inrättar ett statligt myndighetsråd för informations- säkerhet bestående av företrädare för de relevanta myndigheterna på området.</P> <P class="p77 ft8">En ny förordning för statliga myndigheters informationssäkerhet införs.</P> <P class="p78 ft37">Tillsynen över den statliga sektorns informationssäkerhet samordnas och förstärks. Myndigheten för samhällsskydd och beredskap får i uppgift att bedriva tillsyn över statliga myndigheters arbete med informationssäkerhet. Den sektorsvisa tillsynen i staten ses över.</P> <P class="p219 ft38">Revision av informationssäkerhet utvecklas. Myndighetsledningens ansvar för att upprätthålla säkerhet i myndighetens informations- hantering förtydligas genom rapporteringskrav i förordningen om årsredovisning och budgetunderlag.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">331</P> </DIV> </DIV> <DIV id="page_332"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323332x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 5</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> <P class="p808 ft16">2. Staten blir en tydlig kravställare.</P> <P class="p809 ft8">Statliga myndigheter ska arbeta mer systematiskt med att ställa säkerhetsmässiga krav i anslutning till upphandling och avtalsingående på <NOBR>it-området.</NOBR> Dessutom ska det ske löpande uppföljning på den säkerhetsmässiga leverantörstyrningen i staten. Dialogen mellan privata och offentliga aktörer samt relevanta utbildnings- och forskningsinstitutioner på området fördjupas.</P> <P class="p87 ft8">Statlig upphandling ska innehålla hänvisning till för staten gällande standarder och krav på certifiering i de situationer där säkerhets- nivåer har fastställts för respektive verksamhet.</P> <P class="p810 ft38">Myndigheten för samhällsskydd och beredskap ges i uppdrag att ta fram skyddsprofiler som anger minimikrav på säkerhet i vanligt förekommande <NOBR>it-produkter</NOBR> som används av statliga myndigheter.</P> <P class="p811 ft8">Det införs ett krav på att rapportera vilken leverantör som en statlig myndighet valt då ramavtal rörande <NOBR>it-lösningar</NOBR> används.</P> <P class="p84 ft8">Avseende tjänster och produkter att användas för kommunikation inom staten överväger upphandlande myndighet möjligheten att tillämpa lagen om upphandling på försvars- och säkerhetsområdet, om upphandling enligt lagen om offentlig upphandling inte medger nödvändigt kravställande.</P> <P class="p812 ft8">Regeringen fördjupar dialogen mellan privata och offentliga aktörer samt utbildnings- och forskningsinstitutioner på informations- säkerhetsområdet.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">332</P> </DIV> </DIV> <DIV id="page_333"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323333x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 5</P></TD> </TR> </TABLE> <P class="p813 ft16">3. Statliga myndigheter kommunicerar säkert.</P> <P class="p496 ft8">Statliga myndigheter ska kommunicera säkert. I ett första steg ansluts myndigheterna som omfattas av krisberedskaps- förordningen till SGSI. På sikt utvecklas detta till ett säkert kommunikationssystem för hela staten.</P> <P class="p814 ft8">Samtliga myndigheter som anges i bilagan till förordningen om krisberedskap och höjd beredskap ansluts till kommunikations- systemet Swedish Government Secure Intranet (SGSI).</P> <P class="p77 ft8">Under utbyggnaden av SGSI vidtas lämpliga åtgärder för att utveckla sensorteknik.</P> <P class="p77 ft8">Statliga myndigheter ska använda samma synkroniserade tidsskala för de tidsangivelser de använder i sina <NOBR>it-system.</NOBR></P> <P class="p83 ft9">Regeringen ger Myndigheten för samhällsskydd och beredskap, Försvarets radioanstalt, Försvarets materielverk och Försvarsmakten i uppdrag att utveckla processen för säkra kryptografiska funktioner.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">333</P> </DIV> </DIV> <DIV id="page_334"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323334x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 5</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p815 ft39">4. Samtliga statliga myndigheter rapporterar <NOBR>it-incidenter</NOBR> för att skapa underlag för bättre kunskap och lägesbeskrivningar.</P> <P class="p816 ft8">Det inrättas system för obligatorisk <NOBR>it-incidentrapportering</NOBR> för samtliga statliga myndigheter. Detta anpassas till innehållet i EU- direktivet om nät- och informationssäkerhet <NOBR>(NIS-direktivet).</NOBR></P> <P class="p392 ft8">I syfte att förbereda införandet av ett system för obligatorisk it- incidentrapportering får Myndigheten för samhällsskydd och beredskap i uppdrag att utfärda verkställighetsföreskrifter om dess närmare utformning.</P> <P class="p392 ft8">De statliga myndigheterna förses med information om bl.a. trender och utveckling avseende <NOBR>it-incidenter.</NOBR></P> </DIV> <DIV id="id_3"> <P class="p4 ft20">334</P> </DIV> </DIV> <DIV id="page_335"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323335x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t15"> <TR> <TD class="tr9 td84"><P class="p16 ft21">SOU 2015:23</P></TD> <TD class="tr9 td85"><P class="p16 ft36">Bilaga 5</P></TD> </TR> </TABLE> <P class="p817 ft16">5. Förebyggande och bekämpande av <NOBR>it-relaterad</NOBR> brottslighet stärks.</P> <P class="p818 ft8">Sverige skapar nödvändiga förutsättningar för de brotts- bekämpande myndigheterna att garantera samma skydd mot cyberbrottslighet som mot brottslighet i allmänhet. Som ett led i detta ratificeras Europarådets konvention om <NOBR>it-relaterad</NOBR> brottslighet och en översyn görs avseende tvångsmedlens tillämpning i den digitala miljön.</P> <P class="p819 ft8">Arbetet med ratificering av Europarådets konvention om it- relaterad brottslighet slutförs.</P> <P class="p820 ft8">Det utreds om en tydligare reglering kan införas i offentlighets- och sekretesslagen rörande sekretess för uppgifter som utbyts vid samverkan mellan brottsbekämpande myndigheter och andra myndigheter inom informations- och cybersäkerhetsområdet.</P> <P class="p821 ft8">En översyn av bestämmelserna om tvångsmedel i 27 och 28 kap. rättegångsbalken och övriga lagrum görs för att säkerställa att brottsbekämpande myndigheter kan bedriva sin förebyggande och utredande verksamhet i den digitala miljön.</P> </DIV> <DIV id="id_2"> <P class="p4 ft20">335</P> </DIV> </DIV> <DIV id="page_336"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323336x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr9 td14"><P class="p16 ft21">Bilaga 5</P></TD> <TD class="tr9 td15"><P class="p16 ft21">SOU 2015:23</P></TD> </TR> </TABLE> </DIV> <DIV id="id_2"> <P class="p822 ft16">6. Sverige ska vara en stark internationell partner.</P> <P class="p823 ft8">Regeringen stärker och samordnar insatserna för att främja Sveriges ställning i internationellt samarbete om informations- och cybersäkerhet.</P> <P class="p824 ft38">Regeringen säkerställer att Sverige agerar kraftfullt och konsistent i samtliga internationella och regionala fora av relevans.</P> </DIV> <DIV id="id_3"> <P class="p4 ft20">336</P> </DIV> </DIV> <DIV id="page_337"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323337x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <P class="p4 ft7">Statens offentliga utredningar 2015</P> <P class="p94 ft12">Kronologisk förteckning</P> </DIV> <DIV id="id_2"> <DIV id="id_2_1"> <P class="p825 ft4"><SPAN class="ft163">1.</SPAN><SPAN class="ft164">Deltagande med väpnad styrka</SPAN></P> <P class="p826 ft4"><SPAN class="ft165">i</SPAN><SPAN class="ft166">utbildning utomlands. En utökad beslutsbefogenhet för regeringen. Fö.</SPAN></P> <P class="p827 ft167"><SPAN class="ft167">2.</SPAN><SPAN class="ft168">Värdepappersmarknaden</SPAN></P> <P class="p828 ft4">MiFID II och MiFIR. + Bilagor. Fi.</P> <P class="p829 ft4"><SPAN class="ft4">3.</SPAN><SPAN class="ft164">Med fokus på kärnuppgifterna. En angelägen anpassning av Polismyndig- hetens uppgifter på djurområdet. Ju.</SPAN></P> <P class="p827 ft4"><SPAN class="ft4">4.</SPAN><SPAN class="ft164">Ett svenskt tonnageskattesystem. Fi.</SPAN></P> <P class="p830 ft4"><SPAN class="ft4">5.</SPAN><SPAN class="ft164">En ny svensk tullagstiftning. Fi.</SPAN></P> <P class="p831 ft4"><SPAN class="ft4">6.</SPAN><SPAN class="ft164">Mer gemensamma tobaksregler.</SPAN></P> <P class="p832 ft4">Ett genomförande av tobaksprodukt- direktivet. S.</P> <P class="p833 ft4"><SPAN class="ft163">7.</SPAN><SPAN class="ft164">Krav på privata aktörer i välfärden. Fi.</SPAN></P> <P class="p834 ft4"><SPAN class="ft4">8.</SPAN><SPAN class="ft164">En översyn av årsredovisningslagarna. Ju.</SPAN></P> <P class="p833 ft4"><SPAN class="ft163">9.</SPAN><SPAN class="ft164">En modern reglering</SPAN></P> <P class="p835 ft4">av järnvägstransporter. Ju.</P> <P class="p836 ft4"><SPAN class="ft163">10.</SPAN><SPAN class="ft164">Gränser i havet. UD.</SPAN></P> <P class="p837 ft4"><SPAN class="ft163">11.</SPAN><SPAN class="ft164">Kunskapsläget på kärnavfallsområdet 2015. Kontroll, dokumentation och finansiering för ökad säkerhet. M.</SPAN></P> <P class="p779 ft4"><SPAN class="ft163">12.</SPAN><SPAN class="ft164">Överprövning av upphandlingsmål</SPAN></P> <P class="p835 ft4"><SPAN class="ft163">m.m.</SPAN><SPAN class="ft164">Fi.</SPAN></P> <P class="p838 ft4"><SPAN class="ft163">13.</SPAN><SPAN class="ft164">Tillämpningsdirektivet till utstationeringsdirektivet – Del I. A.</SPAN></P> <P class="p839 ft167"><SPAN class="ft163">14.</SPAN><SPAN class="ft168">Sedd, hörd och respekterad. Ett ändamålsenligt klagomålssystem</SPAN></P> <P class="p840 ft4"><SPAN class="ft4">i</SPAN><SPAN class="ft169">hälso- och sjukvården. S.</SPAN></P> <P class="p841 ft4"><SPAN class="ft163">15.</SPAN><SPAN class="ft164">Attraktiv, innovativ och hållbar – strategi för en konkurrenskraftig jordbruks- och trädgårdsnäring. N L.</SPAN></P> <P class="p842 ft4"><SPAN class="ft163">16.</SPAN><SPAN class="ft164">Ökat värdeskapande ur immateriella tillgångar. N.</SPAN></P> <P class="p843 ft4"><SPAN class="ft163">17.</SPAN><SPAN class="ft164">För kvalitet – Med gemensamt ansvar. S.</SPAN></P> <P class="p836 ft4"><SPAN class="ft163">18.</SPAN><SPAN class="ft164">Lösöreköp och registerpant. Ju.</SPAN></P> <P class="p844 ft4"><SPAN class="ft163">19.</SPAN><SPAN class="ft164">En ny ordning för redovisningstillsyn. Fi.</SPAN></P> <P class="p845 ft4"><SPAN class="ft163">20.</SPAN><SPAN class="ft164">Trygg och effektiv utskrivning från sluten vård. S.</SPAN></P> <P class="p846 ft4"><SPAN class="ft163">21.</SPAN><SPAN class="ft164">Mer trygghet och bättre försäkring. Del 1 + 2. S.</SPAN></P> </DIV> <DIV id="id_2_2"> <P class="p4 ft4">22. Rektorn och styrkedjan. U.</P> <P class="p836 ft167"><SPAN class="ft163">23.</SPAN><SPAN class="ft168">Informations- och cybersäkerhet</SPAN></P> <P class="p847 ft4">i Sverige. Strategi och åtgärder för säker information i staten. Ju Fö.</P> </DIV> </DIV> </DIV> <DIV id="page_338"> <DIV id="dimg1"> <INGENBILD zsrc="H3B323338x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <P class="p4 ft7">Statens offentliga utredningar 2015</P> <P class="p94 ft12">Systematisk förteckning</P> </DIV> <DIV id="id_2"> <DIV id="id_2_1"> <P class="p4 ft71">Arbetsmarknadsdepartementet</P> <P class="p837 ft4">Tillämpningsdirektivet till utstationeringsdirektivet – Del I [13]</P> <P class="p848 ft71">Finansdepartementet</P> <P class="p6 ft167">Värdepappersmarknaden</P> <P class="p849 ft170">MiFID II och MiFIR. + Bilagor [2] Ett svenskt tonnageskattesystem. [4] En ny svensk tullagstiftning. [5]</P> <P class="p6 ft4">Krav på privata aktörer i välfärden. [7]</P> <P class="p850 ft4">Överprövning av upphandlingsmål m.m. [12]</P> <P class="p6 ft4">En ny ordning för redovisningstillsyn. [19]</P> <P class="p851 ft71">Försvarsdepartementet</P> <P class="p6 ft167">Deltagande med väpnad styrka</P> <P class="p852 ft4">i utbildning utomlands. En utökad beslutsbefogenhet för regeringen. [1]</P> <P class="p851 ft71">Justitiedepartementet</P> <P class="p850 ft4">Med fokus på kärnuppgifterna. En ange- lägen anpassning av Polismyndig- hetens uppgifter på djurområdet. [3]</P> <P class="p6 ft4">En översyn av årsredovisningslagarna. [8]</P> <P class="p6 ft4">En modern reglering</P> <P class="p853 ft171">av järnvägstransporter. [9] Lösöreköp och registerpant. [18]</P> <P class="p6 ft167">Informations- och cybersäkerhet</P> <P class="p854 ft4">i Sverige. Strategi och åtgärder för säker information i staten. [23]</P> <P class="p851 ft71">Miljö- och energidepartementet</P> <P class="p855 ft4">Kunskapsläget på kärnavfallsområdet 2015. Kontroll, dokumentation och finansie- ring för ökad säkerhet. [11]</P> <P class="p848 ft71">Näringsdepartementet</P> <P class="p856 ft4">Attraktiv, innovativ och hållbar – strategi för en konkurrenskraftig jordbruks- och trädgårdsnäring. [15]</P> <P class="p857 ft4">Ökat värdeskapande ur immateriella tillgångar. [16]</P> </DIV> <DIV id="id_2_2"> <P class="p4 ft71">Socialdepartementet</P> <P class="p858 ft4">Mer gemensamma tobaksregler. Ett genomförande av tobaks- produktdirektivet. [6]</P> <P class="p859 ft4">Sedd, hörd och respekterad. Ett ändamålsenligt klagomålssystem i hälso- och sjukvården. [14]</P> <P class="p8 ft4">För kvalitet – Med gemensamt ansvar. [17]</P> <P class="p860 ft4">Trygg och effektiv utskrivning från sluten vård. [20]</P> <P class="p861 ft4">Mer trygghet och bättre försäkring. Del 1 + 2. [21]</P> <P class="p848 ft71">Utbildningsdepartementet</P> <P class="p5 ft4">Rektorn och styrkedjan. [22]</P> <P class="p851 ft71">Utrikesdepartementet</P> <P class="p6 ft4">Gränser i havet. [10]</P> </DIV> </DIV> </DIV> </BODY> </HTML> H3B323 SOU_2015__23.pdf 1839750 pdf Informations- och cybersäkerhet i Sverige https://data.riksdagen.se/fil/4E3FD539-E7ED-414A-B08E-B28D8705F169