Regeringskansliet

Faktapromemoria 2010/11:FPM100

Meddelande om skydd av kritisk informationsinfrastruktur

Näringsdepartementet

2011-05-04

Dokumentbeteckning

KOM(2011) 163 slutlig

Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén om skydd av kritisk infrastruktur "Resultat och kommande åtgärder: vägen mot global it-säkerhet"

Sammanfattning

Detta nya meddelande från 2011 beskriver de resultat som uppnåtts sedan handlingsplanen för skydd av kritisk informationsinfrastruktur antogs 2009. Det beskriver vilka åtgärder som nu planeras för varje område, på både europeisk och internationell nivå. Meddelandet inriktar sig också på den globala dimensionen av problemen och vikten av att öka samarbetet mellan medlemsstaterna och den privata sektorn på nationell, europeisk och internationell nivå, med tanke på det ömsesidiga beroendet på global nivå.

Regeringen ser generellt sett positivt på att kommissionen arbetar aktivt med frågorna och välkomnar denna uppföljning av den tidigare satta handlingsplanen. Sverige har dock kring vissa frågor en annan syn än kommissionen om hur arbetet kan och bör bedrivas eller var fokus skall ligga.

1Förslaget

1.1Ärendets bakgrund

Den 30 mars 2009 antog kommissionen ett meddelande om skydd av kritisk informationsinfrastruktur - Skydd mot storskaliga IT-attacker och avbrott: förbättrad beredskap, säkerhet och motståndskraft i Europa som innehåller en plan (handlingsplan för skydd av kritisk informationsinfrastruktur) för att stärka viktig IKT-infrastrukturs säkerhet och motståndskraft. Syftet var att främja och stödja utvecklingen av en hög nivå vad gäller beredskap, säkerhet och motståndskraft på både nationell och europeisk nivå. Strategin fick brett stöd av rådet 2009.

Handlingsplanen för skydd av kritisk informationsinfrastruktur (nedan kallad handlingsplanen) bygger på följande fem åtgärdsområden: Beredskap och förebyggande åtgärder, upptäckt och insatser, begränsning av verkningar och återställning, internationellt samarbete och kriterier för europeisk kritisk infrastruktur för sektorn för informations- och kommunikationsteknik. I planen beskrivs vad kommissionen, medlemsstaterna och/eller industrin, med stöd av Europeiska byrån för nät- och informationssäkerhet (Enisa), ska göra inom varje område.

Detta nya meddelande från 2011 beskriver de resultat som uppnåtts sedan handlingsplanen för skydd av kritisk informationsinfrastruktur antogs 2009.

1.2Förslagets innehåll

Detta meddelande beskriver de resultat som uppnåtts sedan handlingsplanen för skydd av kritisk informationsinfrastruktur antogs 2009. Det beskriver vilka åtgärder som nu planeras för varje område, på både europeisk och internationell nivå. Meddelandet inriktar sig också på den globala dimensionen av problemen och vikten av att öka samarbetet mellan medlemsstaterna och den privata sektorn på nationell, europeisk och internationell nivå, med tanke på det ömsesidiga beroendet på global nivå.

Kommissionen anser att:

Kommissionen föreslår i detta syfte följande aktiviteter och ståndpunkter:

Kommissionen anser att eftersom säkerhet är ett ansvar som delas av alla måste alla medlemsstater se till att deras nationella åtgärder och insatser kollektivt bidrar till en samordnad europeisk strategi för att förhindra, upptäcka, mildra och bemöta alla typer av it-avbrott och attacker.

Kommissionen anser därför att medlemsstaterna därför måste åta sig:

1.3Gällande svenska regler och förslagets effekt på dessa

Såväl direktiv 2008/114/EG som CIIP-meddelandet berör ett stort antal frågor som omfattas av medlemsstaters nationella kompetens samt den privata sektorns kompetens. Ett antal aspekter av meddelandet berör nationell säkerhet.

I Sverige regleras ansvaret för skydd av kritisk informationsinfrastruktur liksom skydd av all annan infrastruktur av ansvarsprincipen. Enligt ansvarsprincipen är alla svenska myndigheter ansvariga för att ha en tillräcklig informationssäkerhet inom sin verksamhet. Det finns med andra ord inte någon enskild myndighet med ansvar för dessa frågor. Vissa svenska myndigheter har ett mer utpekat ansvar för frågor som rör informationssäkerhet. I det formella uppdraget kan det ingå tillsynsansvar, det vill säga utövande av kontroll över en verksamhet, samt föreskriftsrätt på området. De myndigheter med ett särskilt formellt ansvar för informationssäkerhet i Sverige är:

Förutom dessa finns ytterligare myndigheter vars verksamheter har betydelse för informationssäkerhet.

1.4Budgetära konsekvenser / Konsekvensanalys

Meddelandet innehåller i sig själv inga lagstiftningsförslag men innehåller ett antal uppmaningar som kan få budgetära konsekvenser om medlemsstater efterkommer dem. Någon närmare konsekvensanalys finns inte i meddelandet.

2Ståndpunkter

2.1Preliminär svensk ståndpunkt

Regeringen ser generellt sett positivt på att kommissionen arbetar aktivt med frågorna och välkomnar denna uppföljning av den tidigare satta handlingsplanen. Sverige har dock kring vissa frågor en annan syn än kommissionen om hur arbetet kan och bör bedrivas eller var fokus skall ligga.

Nedan följer en genomgång av svenska detaljståndpunkter kring CIIP. Handlingslinjen i förhandlingarna kring rådsslutsatser om meddelandet består i att påverka slutsatserna i den riktning som följer av dessa ståndpunkter.

Regeringen anser att det är angeläget med en sammanhållen europeisk inriktning i frågor om skydd av kritisk informationsinfrastruktur (CIIP). EU-samarbetets roll bör enligt regeringen i första hand fokusera på att stödja samordning av medlemsstaters aktiviteter, sprida bästa praxis samt stödja de medlemsstater som ligger efter i utvecklingen.

Regeringen anser att många frågor som rör CIIP omfattas av medlemsstaters nationella kompetens och nationella säkerhetsintressen. Medlemsstaters nationella säkerhet och skyddet av deras informationsinfrastruktur är inte en fråga för EU-nivån som sådan, utan tillhör i första hand medlemsstaternas kompetens.

Regeringen anser att EU:s roll måste ses i ett globalt sammanhang mot bakgrund av Internets gränslöshet samt att många multinationella företag är verksamma både inom och utanför EU:s gränser. Hotet mot den digitala informations- och kommunikationsinfrastrukturen ser inte heller några geografiska gränser och dess aktörer arbetar utifrån varierande bevekelsegrunder och ideal.

Regeringen anser att både medlemsstatsnivån och EU-nivån bör fokusera mer på hur informationssäkerhet kan utvecklas på global nivå. Särskild tonvikt bör läggas vid den gradvisa utvecklingen av internationella regelverk som på ett effektivt sätt förebygger och motverkar IT-attacker.

Så kallad kritisk informationsinfrastruktur återfinns i både offentlig och privat sektor i medlemsstaterna. Regeringen anser att varje form av förteckning och inventering av kritisk infrastruktur innebär risker i sig och kan vara kontraproduktiva i förhållande till syftet att höja säkerheten. Regeringen ifrågasätter nyttan av samt möjligheten att särskilt på övernationell nivå försöka sammanställa det slags känsliga information som omnämns i kommissionens meddelande från 2009.

Regeringen noterar att det inom EU på medlemsstats- och unionsnivå pågår omfattande arbeten med ett antal initiativ som tagits under 2009 och 2010. Mot denna bakgrund betonar regeringen vikten av att det tas hänsyn till dessa, och andra, pågående processer för att undvika onödigt dubbelarbete.

CIIP-handlingsplanen innehåller ett stort antal åtgärder som riktar sig till medlemsstater. Några av dessa åtgärder, t.ex. utvecklingen av nationella och statliga Computer Emergency Response Teams (CERT:ar), skulle enligt regeringen mening vara till stort stöd för mindre utvecklade medlemsstater. Sverige anser att CERT-samarbete måste bygga på personligt förtroende, ömsesidig nytta och respekt för den känsliga grunden för samarbetet. Därför bör detta samarbete inte framtvingas genom order och/eller lagstiftning.

Regeringen anser att övningar är ett viktigt redskap för att utveckla och stärka samhällets förmåga att hantera IT-relaterade störningar. Informationssäkerhet kräver samverkan såväl nationellt som internationellt. Regeringen och andra länder bedriver redan omfattande övningsverksamhet. Regeringen anser det angeläget att den övningsverksamhet som stöds av kommissionens, t.ex. Cyber Europe, är gemensamt samordnad mellan medlemsstater och kommissionens för att maximera nyttan av dem. Genom gemensam samordning och planering av övningar kan dessutom onödigt och kostsamt dubbelarbete undvikas.

Sverige vill ta bort fokus på övervägda och/eller sofistikerade attacker. Det är mer relevant och kostnadseffektivt att fokusera på att finna modeller som beaktar alla incidenter, i synnerhet de med högre sannolikheter, till exempel strömavbrott och störningar på grund av väder-, markgrävningar, uppdatering av programvara, att man skär av kablar, växande teknisk komplexitet (IPv6 migration, molntjänsteanvändning) och så vidare. Aktiviteter för att ta itu med övervägda och/eller sofistikerade attacker skulle bli en naturlig del av denna allriskmodell.

2.2Medlemsstaternas ståndpunkter

Sannolikt stödjer flertalet medlemsstater kommissionens initiativ på en övergripande nivå. Medlemsstaternas åsikter går dock troligen isär vad gäller de mer specifika frågorna t.ex. om informationsutbyte. Medlemsstaternas förmåga att fullt ut kunna delta i arbetet samt den egna nationella utvecklingen inom informationssäkerhetsområdet ligger sinsemellan på olika nivåer inom EU. Generellt sett kan Sverige räknas till den grupp medlemsstater som har mest utvecklade förmågor på detta område.

2.3Institutionernas ståndpunkter

Ett flertal generaldirektorat i kommissionen berörs: DG INFSO, DG HOME m.fl. DG INFSO tillsammans med europeiska byrån för nät- och informationssäkerhet (ENISA) är starkt drivande i att identifiera europeisk kritisk informationsinfrastruktur inom IKT-sektorerna inför översynen av direktiv 2008/114/EG om europeisk kritisk infrastruktur som förutses 2012.

2.4Remissinstansernas ståndpunkter

Meddelandet är ej remissbehandlat.

3Förslagets förutsättningar

3.1Rättslig grund och beslutsförfarande

Ej aktuellt då det rör sig om ett meddelande. Det ungerska ordförandeskapet siktar på rådsslutsatser om meddelandet vid TTE-rådet den 27 maj 2011. Dessa antas med enhällighet.

3.2Subsidiaritets- och proportionalitetsprincipen

CIIP-meddelandena berör ett antal frågor som omfattas av medlemsstaternas nationella kompetens samt den privata sektorns kompetens. Ett antal aspekter av meddelandet berör nationell säkerhet. Meddelandet innehåller dock ingen lagstiftning av tvingande natur varför subsidiaritetsprincipen inte är direkt relevant i sammanhanget. Kommissionens åtgärder kan sägas vara proportionella eftersom de endast kan utmynna i rekommendationer till medlemsstaterna om hur vi kan eller bör agera på olika områden. Detta är ett ganska svagt styrmedel om man jämför med viken av att skydda kritisk informationsinfrastruktur.

4Övrigt

4.1Fortsatt behandling av ärendet

Det ungerska ordförandeskapet siktar på rådsslutsatser om meddelandet vid TTE-rådet den 27 maj 2011.

4.2Fackuttryck/termer

EUEuropeiska unionen

CIIPCritical Information Infrastructure Protection / Skydd av Kritisk Inforamtionsinfrastruktur

TTETele, transport och energi

DG HOMEDirectorate-General for Home Affairs

DG INFSODirectorate-General Information Society and Media

ENISAEuropeiska byrån för nät- och informationssäkerhet

IKTInformations- och kommuikationsteknik

CERTComputer Emergency Response Team