Ds 2016:22
Polisens tillgång till information om vissa
Justitiedepartementet
SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon:
Webbplats: wolterskluwer.se/offentligapublikationer
För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2003:2 (reviderad
En kort handledning för dem som ska svara på remiss.
Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser
Omslag: Regeringskansliets standard
Tryck: Elanders Sverige AB, Stockholm 2016
ISBN
ISSN
Förord
Regeringen beslutade den 9 december 2015 att ge Björn Andersson i uppdrag (Ju 2015:K) att bistå Justitiedepartementet med att utreda åtgärder för att öka Polismyndighetens tillgång till information om itbrottslighet. Hovrättsassessorn Malin Stensbäck anställdes för att arbeta som sekreterare inom ramen för uppdraget.
Härmed överlämnas promemorian Polisens tillgång till information om vissa
Stockholm i juli 2016
Björn Andersson
Malin Stensbäck
Innehåll
Sammanfattning .................................................................. | 9 | |
1 | Författningsförslag..................................................... | 11 |
1.1Förslag till förordning om ändring i förordningen (2015:1052) om krisberedskap och bevakningsansvariga
myndigheters åtgärder vid höjd beredskap............................ | 11 | ||
2 | Utredningens uppdrag och genomförande .................... | 13 | |
3 | Informations- och cybersäkerhet ................................. | 17 | |
3.1 | Begrepp och definitioner ........................................................ | 17 | |
3.2 | Hot och risker i en digitaliserad värld ................................... | 18 | |
3.3 | Politikens inriktning ............................................................... | 19 | |
3.4 | Riksrevisionens granskningar................................................. | 21 | |
3.5 | Aktuella utredningar............................................................... | 23 | |
3.6 | Internationellt arbete .............................................................. | 25 | |
3.6.1 | Europeiska unionen................................................. | 26 | |
3.6.2 | OECD...................................................................... | 29 | |
3.6.3 | FN ............................................................................ | 30 | |
3.6.4 | Londonprocessen .................................................... | 30 | |
3.6.5 | OSSE ........................................................................ | 31 | |
3.6.6 | Europarådet.............................................................. | 31 | |
3.6.7 | Interpol .................................................................... | 32 |
5
Innehåll | Ds 2016:22 |
4 | Samhällets informationssäkerhet ................................. | 33 |
4.1 Myndighetsorganisationen på | ||
informationssäkerhetsområdet .............................................. | 33 | |
4.1.1 | SAMFI ..................................................................... | 33 |
4.1.2Myndigheten för samhällsskydd och
beredskap (MSB)..................................................... | 34 | |
4.1.3 | Polismyndigheten ................................................... | 40 |
4.1.4 | Säkerhetspolisen...................................................... | 42 |
4.1.5 | Övriga myndigheter i SAMFI ................................ | 43 |
4.2Reglering av säkerhetsskydd, krishantering och
informationssäkerhetsarbete.................................................. | 47 | |
4.2.1 | Säkerhetsskyddslagstiftningen ............................... | 47 |
4.2.2Förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters
åtgärder vid höjd beredskap.................................... | 49 | |
4.3 Särskilt om obligatorisk |
51 | |
4.3.1 | Bakgrund till reformen ........................................... | 51 |
4.3.2 | NISU 2014............................................................... | 54 |
4.3.3
vid höjd beredskap .................................................. | 56 |
4.3.4Incidentrapportering enligt säkerhetskyddsförordningen och lagen
om elektronisk kommunikation............................. | 60 | |
4.4 Samhällets insatser mot |
61 | |
4.4.1 | Brottsbalken ............................................................ | 62 |
4.4.2Polismyndigheten och dess nationella
62 | ||
4.4.3 | Säkerhetspolisen...................................................... | 64 |
4.4.4 | Åklagarmyndigheten............................................... | 66 |
4.5 Brottsutredning och lagföring ............................................... | 67 |
6
Ds 2016:22 Innehåll
5 | Ordningen i några andra länder ................................... | 71 |
5.1 | Tyskland .................................................................................. | 71 |
5.2 | Nederländerna......................................................................... | 73 |
5.3 | Norge....................................................................................... | 74 |
6 | Utredningens principiella utgångspunkter .................... | 77 | ||
7 | Rättsliga hinder mot ett informationssamarbete | |||
mellan MSB och Polismyndigheten ............................. | 85 | |||
7.1 | Sekretess i MSB:s verksamhet ................................................ | 85 | ||
7.1.1 | 18 kap. 8 | § 3 och 4 OSL .......................................... | 85 | |
7.1.2 | 18 kap. 9 | § OSL ....................................................... | 87 | |
7.1.3 | 18 kap. 13 § OSL...................................................... | 88 | ||
7.1.4 | 21 kap. 7 | § OSL ....................................................... | 88 |
7.1.5Andra sekretessbestämmelser som
kan aktualiseras ........................................................ | 89 | |||
7.2 | Sekretessbrytande bestämmelser ........................................... | 90 | ||
7.2.1 | 10 kap. 24 | § OSL...................................................... | 91 | |
7.2.2 | 10 kap. 27 | § OSL – generalklausulen...................... | 91 | |
7.2.3 | 10 kap. 28 | § OSL...................................................... | 94 | |
7.2.4 | 10 kap. 2 § OSL ....................................................... | 95 | ||
7.2.5 | 6 kap. 5§ OSL .......................................................... | 95 | ||
7.3 | Personuppgiftslagen................................................................ | 95 | ||
7.4 | Utredningens bedömning....................................................... | 97 | ||
8 | Sekretessen hos brottsbekämpande myndigheter | |||
och hos domstol ........................................................ | 99 |
8.1Sekretessen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd
gäller hos alla myndigheter..................................................... | 99 |
8.2Förundersökningssekretess och sekretess till skydd
för underrättelseverksamhet................................................. | 100 |
8.3 Sekretess under och efter en huvudförhandling ................. | 101 |
7
Innehåll | Ds 2016:22 |
8.4 | Sekretess för uppgifter i domar och beslut ......................... | 102 |
8.5 | Allmänt om partsinsyn......................................................... | 103 |
8.6 | Partsinsyn och sekretess – kollisionsbestämmelsen........... | 105 |
8.7 | Utredningens bedömning .................................................... | 106 |
9 | Överväganden och förslag ......................................... | 109 |
9.1En uppgiftsskyldighet för Myndigheten för
samhällsskydd och beredskap införs ................................... | 109 | |
9.2 | Uppgiftsskyldigheten regleras i förordning........................ | 115 |
10 | Konsekvenser .......................................................... | 119 |
11 | Ikraftträdande ......................................................... | 121 |
12 | Författningskommentar ............................................ | 123 |
12.1Förslaget till förordning om ändring i förordningen (2015:1052) om krisberedskap och bevakningsansvariga
myndigheters åtgärder vid höjd beredskap ......................... | 123 |
8
Sammanfattning
Statliga myndigheter ska enligt 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap skyndsamt rapportera vissa
I promemorian föreslås att MSB ska vara skyldig att lämna uppgifter om sådana rapporterade
Promemorians förslag tar sin utgångspunkt i att det är angeläget att brottsliga gärningar som utgör ett hot mot informationssäkerheten utreds och att de individer som ansvarar för sådana handlingar lagförs. För att öka polisens tillgång till information om
I promemorian redovisar utredningen sin bedömning att varken bestämmelser om sekretess eller bestämmelser om behandling av personuppgifter normalt utgör ett hinder mot att MSB lämnar information om rapporterade
Statliga myndigheter har en långtgående skyldighet att samarbeta och bistå varandra i den utsträckning som det kan ske. MSB har ett särskilt ansvar att agera skyndsamt vid
9
Sammanfattning | Ds 2016:22 |
En naturlig utgångspunkt för utredningen har därför varit att MSB och Polismyndigheten så långt det är möjligt med hänsyn till rättsliga och verksamhetsmässiga förutsättningar själva bör utveckla sin samverkan utifrån sina respektive uppgifter och roller i informationssäkerhetsarbetet. Utredningen har i underhandskontakter med MSB och Polismyndigheten undersökt förutsättningarna för en överenskommelse mellan myndigheterna om ett informationssamarbete om
I promemorian lämnas därför förslaget att i förordning reglera en skyldighet för MSB att lämna uppgifter om sådana
Som alternativ till en författningsreglerad uppgiftsskyldighet framhåller utredningen möjligheten att regeringen genom myndighetsstyrningen säkerställer att ett effektivt och ändamålsenligt informationssamarbete etableras mellan myndigheterna.
Utredningen bedömer att förslaget får positiva konsekvenser för brottsbekämpningen. Förslagets ekonomiska konsekvenser är sådana att eventuellt ökade kostnader hos berörda myndigheter bedöms kunna finansieras inom befintliga ramar.
Förordningsändringen föreslås träda i kraft den 1 januari 2017.
10
1 Författningsförslag
1.1Förslag till
förordning om ändring i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap
Härigenom föreskrivs att 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
20 § 1
Till stöd för arbetet med samhällets informationssäkerhet ska en myndighet till Myndigheten för samhällsskydd och beredskap skyndsamt rapportera
En myndighet som tillhandahåller tjänster åt en annan organisation ska i samband med rapportering enligt första stycket informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten.
Rapporteringsskyldigheten omfattar inte sådana incidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen (1996:633).
Om det kan antas att en | Om det kan antas att en |
incident som rapporterats till | incident som rapporterats till |
Myndigheten för samhällsskydd | Myndigheten för samhällsskydd |
1 Senaste lydelse 2015:1052. | |
11 |
Författningsförslag | Ds 2016:22 |
och beredskap enligt | första | och beredskap | enligt första | |
stycket har sin grund i en brottslig | stycket har sin grund i en brottslig | |||
gärning, ska Myndigheten för | gärning, ska Myndigheten | för | ||
samhällsskydd och beredskap | samhällsskydd | och beredskap | ||
skyndsamt uppmana den rapport- | skyndsamt lämna uppgifter | om | ||
erande myndigheten att | anmäla | incidenten till Polismyndigheten. | ||
incidenten till polisen |
Denna förordning träder i kraft den 1 januari 2017.
12
2Utredningens uppdrag och genomförande
Som
Statliga myndigheter är sedan den 1 april 2016 skyldiga att rapportera
Rapporteringsskyldigheten är en del i en samlad strategi för informations- och cybersäkerhet i staten som föreslogs av NISU 2014 i betänkandet Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten (SOU 2015:23).
Med incidentrapporteringen som grund ansvarar MSB bl.a. för att sammanställa information om trender och utveckling avseende
Det finns även ett samhällsintresse av att
MSB lämnar inte uppgifter om rapporterade incidenter till Polismyndigheten. MSB är dock skyldig att uppmana rapporterande
13
Utredningens uppdrag och genomförande | Ds 2016:22 |
myndigheter att anmäla incidenter som kan antas ha sin grund i brottslig gärning till polisen. Sådana uppmaningar lämnades även till myndigheter och andra som frivilligt rapporterade incidenter till MSB före den 1 april 2016. Enligt Polismyndigheten är anmälningar som grundar sig på sådana uppmaningar mycket ovanliga. Den låga anmälningsfrekvensen till polisen och det faktum att det finns ett stort antal
Regeringen beslutade mot denna bakgrund i december 2015 att ge en utredare i uppdrag att analysera och föreslå åtgärder för att öka Polismyndighetens tillgång till information om
Utredaren ska särskilt analysera och beakta hur en informationsdelning skulle kunna påverka myndigheters benägenhet att rapportera
Utredaren ska föreslå de författningsändringar som övervägandena föranleder. Utredaren ska analysera och redovisa ekonomiska konsekvenser av sina förslag och föreslå hur eventuella kostnader för det allmänna ska finansieras. Uppdraget ska redovisas senast den 11 juli 2016.
Utredningen har under arbetet haft informella möten och täta kontakter med företrädare för MSB och Polismyndigheten. Utredningen har även haft kontakt med företrädare för Säkerhetspolisen, Åklagarmyndigheten, Domstolsverket samt Post- och telestyrelsen. MSB och Polismyndigheten har under arbetet getts tillfälle att under hand lämna synpunkter på bl.a. utredningens bedömning av de rättsliga frågor som uppdraget aktualiserat.
Utredningen har med hjälp av MSB inhämtat information om itincidentrapportering och frågor om polisiära myndigheters tillgång
14
Ds 2016:22 | Utredningens uppdrag och genomförande |
till information om sådana incidenter i Nederländerna, Norge och Tyskland. Utredningen har särskilt intresserat sig för frågan om hur
15
3 Informations- och cybersäkerhet
3.1Begrepp och definitioner
I dag betraktar de flesta länder informationssäkerhet som en stor nationell utmaning, och informationssäkerhet inklusive cybersäkerhet anses vara av såväl strategisk som utrikespolitisk och säkerhetspolitisk betydelse. Det är viktigt att ha en helhetssyn på informationssäkerhet eftersom det är ett komplext och gränsöverskridande område, både geografiskt och när det gäller bl.a. teknik, administration, ekonomi, och juridik. Informationssäkerhet är en fråga som berör många områden och verksamheter som bl.a. påverkar svensk
En storskalig
Informationssäkerhet definieras i detta sammanhang som en strävan efter att skydda information så att den alltid finns tillgänglig när den behövs (tillgänglighet), att det går att lita på att den är korrekt och inte manipulerad eller förstörd (riktighet), att endast behöriga personer får ta del av den (konfidentialitet) och att det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet). Informationssäkerhet omfattar såväl administrativa åtgärder för att skydda information som tekniska åtgärder.
Cybersäkerhet omfattar enligt bl.a. EU:s strategi för cybersäkerhet de mekanismer och åtgärder som används för att skydda cyberdomänen mot de hot som är förknippade med eller kan skada dess ömsesidigt beroende nätverk och informationsinfrastruktur.
17
Informations- och cybersäkerhet | Ds 2016:22 |
Cybersäkerhet syftar till att motstå
En
3.2Hot och risker i en digitaliserad värld
I dagens samhälle hanteras större mängder information än någonsin tidigare. Hanteringen sker i allt större omfattning i elektroniska kommunikationsnät och
Den ökade digitaliseringen medför emellertid också en påtagligt ökad sårbarhet för störningar och avbrott. Olika verksamheters beroende av
18
Ds 2016:22 | Informations- och cybersäkerhet |
Många
Andra
Att genomföra ett angrepp kräver i dag inte någon stor kompetens eftersom det går att få tag i programvara som är särskilt utvecklad för
3.3Politikens inriktning
Målen för Sveriges säkerhet är att värna befolkningens liv och hälsa, samhällets funktionalitet och förmågan att upprätthålla grundläggande värden som demokrati, rättssäkerhet och mänskliga fri- och rättigheter (prop. 2008/09:140, bet. 2008/09:FöU10, rskr. 2008/09:292). Målen för samhällets krisberedskap är att minska risken för olyckor och kriser som hotar vår säkerhet samt värna
19
Informations- och cybersäkerhet | Ds 2016:22 |
människors liv och hälsa samt grundläggande värden som demokrati, rättssäkerhet och mänskliga fri- och rättigheter genom att upprätthålla samhällsviktig verksamhet och hindra eller begränsa skador på egendom och miljö då olyckor och krissituationer inträffar (prop. 2015/16:1, utgiftsområde 6 s. 77).
I regeringens skrivelse (skr. 2009/10:124) Samhällets krisberedskap – stärkt samverkan för ökad säkerhet anges att målen för samhällets informationssäkerhet är följande:
Säkra samhällets funktionalitet, effektivitet och kvalitet.
Bidra till samhällets brottsbekämpning.
Stärka samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.
Främja näringslivets tillväxt.
Värna medborgares fri- och rättigheter och personliga integritet.
Öka medborgares och verksamheters kunskap om och förtroende för informationshantering och
När det gäller politikens inriktning uttalas i budgetpropositionen för 2016 (prop. 2015/16:1 utgiftsområde 6 s. 92) bl.a. följande om informationssäkerhet.
Det förändrade omvärldsläget medför bl.a. att nya konstellationer av aktörer och tillvägagångssätt skapas och att hot och risker uppstår och förändras snabbare. Det blir därför allt svårare att dra en tydlig gräns mellan det civila samhällets behov av informations- och cybersäkerhet, och skyddet för Sveriges säkerhet och skyddet mot terrorism.
Regeringen anser att det för att stärka informations- och cybersäkerheten krävs en förbättrad samordning och samverkan i syfte att få en helhetssyn vad gäller hoten, det som ska skyddas och säkerhetsåtgärderna. Det måste också säkerställas att statens informationstillgångar har ett tillräckligt skydd och att det är tydligt vilka regelverk som ska gälla.
En del i arbetet med att skapa en helhetssyn är att införa ett system för obligatorisk
I budgetpropositionen för 2016 uttalar regeringen också att Riksrevisionens rapport Informationssäkerhet i den civila statsförvaltningen (RiR 2014:23), betänkandet Informations- och cyber-
20
Ds 2016:22 | Informations- och cybersäkerhet |
säkerhet i Sverige. Strategi och åtgärder för säker information i staten
(SOU 2015:23) samt betänkandet En ny säkerhetsskyddslag (SOU 2015:25) visar på att det finns ett behov av att vidta åtgärder för att stärka informations- och cybersäkerheten i Sverige. Regeringen avser därför att även fortsättningsvis prioritera informations- och cybersäkerhetsområdet.
3.4Riksrevisionens granskningar
Riksrevisionen har vid flera tillfällen sedan 2005 granskat informationssäkerhetsarbetet i statsförvaltningen. Riksrevisionen har också granskat om Polismyndigheten och Åklagarmyndigheten har beredskap för att ändamålsenligt och effektivt handlägga och utreda itrelaterade brott. Granskningarna har visat ett flertal brister.
Riksrevisionens rapport Regeringens styrning av informationssäkerhetsarbetet i den statliga förvaltningen (RiR 2007:10)
Riksrevisionen granskade under
Riksrevisionens rapport Informationssäkerheten i den civila statsförvaltningen (RiR 2014:23)
Under 2014 granskade Riksrevisionen om arbetet med informationssäkerhet i den civila statsförvaltningen är ändamålsenligt utifrån ökande hot och risker.
21
Informations- och cybersäkerhet | Ds 2016:22 |
Riksrevisionens övergripande slutsats var att arbetet med informationssäkerhet inte är ändamålsenligt, sett till de hot och risker som finns. Regeringen har enligt Riksrevisionen inte någon samlad lägesbild som inkluderar hot, i vilken omfattning och mot vilka hoten realiseras samt vilka skyddsåtgärder myndigheterna vidtar. En sådan lägesbild har inte heller någon av regeringens stöd- och tillsynsmyndigheter.
För att förbättra statens informationssäkerhet rekommenderade Riksrevisionen därför regeringen bl.a. att snarast införa en obligatorisk incidentrapportering för samtliga myndigheter och att ge en myndighet i uppdrag att hantera denna rapportering.
Riksrevisionens rapport Informationssäkerhetsarbete på nio myndigheter (RiR 2016:8)
Mot bakgrund av tidigare granskningar har Riksrevisionen återigen granskat hur nio myndigheter arbetar med informationssäkerhet. De granskade myndigheterna är desamma som de som granskades under perioden
Granskningen visar att myndigheterna har allvarliga brister i sitt informationssäkerhetsarbete. Regeringen har inte heller sett till att nödvändiga förutsättningar finns för myndigheterna att ha ett ändamålsenligt informationssäkerhetsarbete.
Riksrevisionen lämnar med anledning av granskningen också vissa rekommendationer till regeringen i syfte att få till stånd ett förstärkt informationssäkerhetsarbete.
Riksrevisionens rapport
Riksrevisionen har granskat om Polismyndigheten och Åklagarmyndigheten har beredskap för att ändamålsenligt och effektivt handlägga och utreda
Bakgrunden till granskningen är det växande problemet med itrelaterad brottslighet. I rapporten anges att de personuppklarade brotten för all brottslighet har sjunkit från 18 till 15 procent under
22
Ds 2016:22 | Informations- och cybersäkerhet |
perioden
Granskningen omfattar tre brottskategorier;
Sammantaget visar granskningen att bristen på vedertagna metodstöd, utvecklade arbetssätt, tillräcklig kompetens och specialisering inom området gör att polis och åklagare inte har beredskap och förmåga att utreda och handlägga
Riksrevisionen rekommenderar Polismyndigheten och Åklagarmyndigheten att bl.a. identifiera nationella utvecklingsbehov och utveckla den strategiska kompetensförsörjningen för att kunna säkerställa verksamhetens behov, samt att planera, uppmuntra och skapa utrymme för kompetenshöjande åtgärder inom
3.5Aktuella utredningar
För att möta hot och risker inom det informationsteknologiska området har två utredningar nyligen haft i uppdrag att se över frågor som rör samhällets informationssäkerhet.
23
Informations- och cybersäkerhet | Ds 2016:22 |
Utredningen om säkerhetsskyddslagen
För verksamheter som har betydelse för rikets säkerhet finns det regler om informationssäkerhet i säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633). Sedan säkerhetsskyddsregleringen trädde i kraft 1996 har informationstekniken och användningen av den genomgått en betydande utveckling. En särskild utredare har bl.a. mot den bakgrunden haft i uppdrag att göra en översyn av säkerhetsskyddslagstiftningen. En del av utredningens uppdrag har varit att föreslå hur reglerna om informationssäkerhet, som en del av säkerhetsskyddet, bör vara utformade. Utredningen har också haft i uppdrag att se över hur tillsynen över säkerhetsskyddet bör vara utformat och att ta ställning till om ett system med sanktionsåtgärder bör införas.
Utredningen överlämnade sitt betänkande, En ny säkerhetsskyddslag (SOU 2015:25) i mars 2015. I betänkandet föreslås en ny och moderniserad säkerhetsskyddslag som bl.a. svarar mot utvecklingen på informationsteknikområdet.
Betänkandet har remissbehandlats och bereds för närvarande i Regeringskansliet.
NISU 2014
I slutet av 2013 gavs en särskild utredare i uppdrag att föreslå en strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och
Utredningen, som antog namnet NISU 2014, redovisade betänkandet Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten (SOU 2015:23) i mars 2015. Den strategi som föreslås har sex mål:
24
Ds 2016:22 | Informations- och cybersäkerhet |
att stärka styrning och tillsyn inom området,
att staten ska ställa tydliga krav vid upphandling på
att statliga myndigheter ska kommunicera säkert,
att samtliga statliga myndigheter rapporterar
att arbetet med att förebygga och bekämpa
att Sverige ska vara en stark internationell partner.
Åtgärderna ska säkerställa att de statliga myndigheterna har ett gemensamt förhållningssätt till informationssäkerhetsfrågor och behovet av skyddad kommunikation samt säkra
Betänkandet har remissbehandlats.
I december 2015 beslutade regeringen förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. I och med detta infördes ett system för obligatorisk
Betänkandet i övrigt bereds för närvarande i Regeringskansliet.
3.6Internationellt arbete
Cybersäkerhetsfrågor är till sin natur globala och utmaningarna måste bemötas genom internationella samarbeten. I detta avsnitt lämnas en övergripande redogörelse för internationellt arbete med
25
Informations- och cybersäkerhet | Ds 2016:22 |
informationssäkerhetsfrågor där fokus ligger på bekämpningen av cyberbrottslighet. Redogörelsen är inte avsedd att vara en fullständig genomgång. Av redogörelsen framgår dock att arbete med bekämpning av cyberbrottslighet är högst aktuellt och bedrivs i ett flertal olika forum.
3.6.1Europeiska unionen
Enisa
Inom EU finns ENISA (European Union Agency for Network and Information Security), som är EU:s byrå för nät- och informationssäkerhet och ett expertcentrum för
En europeisk cybersäkerhetsstrategi
Europeiska kommissionen och utrikestjänsten (EEAS) presenterade i februari 2013 en övergripande europeisk cybersäkerhetsstrategi – EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd. Informationssäkerhet,
26
Ds 2016:22 | Informations- och cybersäkerhet |
I strategin tydliggörs de principer som bör styra riktlinjerna för cybersäkerhet inom EU och internationellt. Den vision som presenteras i strategin består av fem strategiska prioriteringar. En av dessa är att drastiskt minska cyberbrottsligheten. Med cyberbrottslighet avses en mängd olika brottsliga aktiviteter där datorer och informationssystem används, antingen som verktyg eller mål. Cyberbrottslighet omfattar enligt strategin traditionella brott som bedrägeri och identitetsstöld, innehållsrelaterade brott som spridning av barnpornografi, samt brott som är unika för datorer och informationssystem, t.ex. angrepp mot informationssystem, överbelastningsattacker och skadlig programvara. En annan strategisk prioritering är att uppnå cyberberedskap. För att främja cyberberedskap inom EU anges att både offentliga myndigheter och den privata sektorn måste utveckla kapacitet och samarbeta effektivt. I strategin anges bl.a. att nationella behöriga myndigheter som ansvarar för nät- och informationssäkerhet bör rapportera incidenter som misstänks vara av allvarlig brottslig karaktär till brottsbekämpande myndigheter. De rättsliga skyldigheterna bör enligt strategin vare sig ersätta eller förebygga det informella och frivilliga samarbete, även mellan den offentliga och privata sektorn, som sker i syfte att förbättra säkerheten och utbyta information och bästa praxis.
Direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen –
Samtidigt som EU:s cybersäkerhetsstrategi presenterades överlämnade kommissionen ett direktivförslag om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen. Förslaget till direktiv om nät- och informationssäkerhet
27
Informations- och cybersäkerhet | Ds 2016:22 |
beroende av nätverk och informationssystem. Sektorerna omfattar energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur. För aktörerna inom de angivna sektorerna innebär direktivet bl.a. att
Kommittédirektiv – Genomförande av
Regeringen har utsett en särskild utredare som ska föreslå hur NIS- direktivet ska genomföras i svensk rätt (kommittédirektiv 2016:29). Uppdraget ska redovisas senast den 1 maj 2017. Frågan om hur en nationell strategi för säkerhet i nätverk och informationssystem bör utformas omfattas emellertid inte av utredarens uppdrag. Regeringen bedömer att det förslag om antagande av en nationell strategi för statens informations- och cybersäkerhet som föreslås i betänkandet Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten (SOU 2015:23) bör kunna anpassas för att motsvara direktivets krav på vad en nationell strategi för säkerhet i nätverk och informationssystem ska innehålla. Det betänkandet har remitterats och bereds för närvarande inom Regeringskansliet.
Europol – EC3
I januari 2013 inrättades ett Europeiskt Cybercrime Center (EC3) vid Europol. EC3 utgör knutpunkten för EU:s
28
Ds 2016:22 | Informations- och cybersäkerhet |
I september 2014 inleddes ett sex månader långt pilotprojekt vid EC3, Joint Cybercrime Taskforce
3.6.2OECD
OECD har sedan 1992 arbetat med att utveckla rekommendationer och riktlinjer för regeringar och andra intressenter i syfte att underlätta hanteringen av säkerhetsutmaningar i den digitala miljön ur ett ekonomiskt och socialt perspektiv.
Ett exempel på sådana rekommendationer är Digital Security Risk Management for Economic and Social Prosperity, som antogs 2015. Rekommendationen är ett resultat av arbetet med att uppdatera en tidigare rekommendation på området, OECD:s riktlinjer för säkerheten i informationssystem och nät – på väg mot en säkerhetskultur (”Security Guidelines”). Målet med Security Guidelines var bl.a. att främja en säkerhetskultur som ett sätt att skydda informationssystem och nät samt att uppmuntra samarbete och utbyte av relevant information vid utformningen och användningen av regler, åtgärder, rutiner m.m. som rör säkerheten.
I den nya rekommendationen från 2015 uppmanas regeringar att anta en nationell strategi för att hantera digitala säkerhetsrisker. Rekommendationen innehåller vidare generella principer. Principerna handlar bl.a. om att medvetandegöra alla berörda om vilka digitala säkerhetsrisker som de kan utsättas för genom utbildning och därigenom också ge nödvändiga färdigheter för att kunna bedöma och hantera dessa. Alla har ett gemensamt ansvar, utifrån den egna rollen eller verksamheten. Ambitionen är att rekommendationen ska främja ett mer holistiskt synsätt när det gäller hanteringen av säkerhetsrisker på det digitala området. Rekommendationen förväntas också etablera nya samordningsmekanismer såväl inom staten som med
29
Informations- och cybersäkerhet | Ds 2016:22 |
Ett annat exempel på rekommendation är OECD Recommendation of the Council on the Protection of Critical Information Infrastructures, som beskriver olika koncept för skydd av kritiska infrastrukturer och hur dessa definieras i olika länder. Fokus ligger på hur regeringarna kan demonstrera ett ledarskap och engagemang när det gäller riskhantering i samarbete med den privata sektorn. Informationsspridning är exempel på åtgärder som kan initieras.
3.6.3FN
Inom FN förekommer arbete med informations- och cybersäkerhet på ett flertal sätt. Ett exempel är
3.6.4Londonprocessen
Den så kallade Londonprocessen har informellt fått beteckna de internationella cyberkonferenser som tog sin början genom ett brittiskt initiativ 2011. I London anordnades då en konferens för att diskutera normer inom ramen för cybersäkerhetsfrågor, med förhoppningen att öka samstämmigheten inom dessa frågor i den internationella debatten. Diskussionerna fortsatte i Budapest 2012, i Seoul 2013, och med Global Conference on Cyberspace i Haag 2015. Samtliga konferenser har berört aspekter angående ekonomiska möjligheter på internet, cyberbrott och internationell säkerhet. Nästa cyberkonferens kommer att hållas i Mexiko 2017.
30
Ds 2016:22 | Informations- och cybersäkerhet |
3.6.5OSSE
Verksamheten i Organisationen för säkerhet och samarbete i Europa (OSSE) tar sin utgångspunkt i ett brett säkerhetsbegrepp som omfattar militärpolitiska aspekter, demokrati och mänskliga rättigheter samt ekonomi och miljö.
En viktig roll är att bygga förtroende mellan medlemsländerna. Genom ökat förtroende kan risken för konflikter minska. 2013 beslutade medlemsstaterna att anta en första uppsättning av förtroendeskapande åtgärder inom cybersäkerhetsområdet. Åtgärderna syftar till att främja samarbete, transparens, förutsägbarhet och stabilitet och således minska risken för missförstånd, eskalering eller konflikter i cyberrymden. I beslutet betonas att implementeringen av åtgärderna ska vara i linje med internationell rätt. De deltagande åtar sig att frivilligt deklarera aspekter av nationella och transnationella hot angående information- och kommunikationsteknologi. Staterna kan även, på frivillig basis, bistå med konsultationer för att minska riskerna för missförstånd och politisk spänning. För att ytterligare reducera missförstånd i brist på en gemensam syn på terminologifrågor har stater möjlighet att tillkännage nationellt definierade termer relaterade till cybersäkerhet.
3.6.6Europarådet
Europarådets verksamhet omfattar bl.a. konventioner inom områden som
2001 antogs Europarådets konvention om
I tilläggsprotokoll till konventionen behandlas frågor om kriminalisering av gärningar av rasistisk och främlingsfientlig natur som begåtts med hjälp av datorsystem.
31
Informations- och cybersäkerhet | Ds 2016:22 |
3.6.7Interpol
Internationella polissamarbetsorganisationen (Interpol) har cyberbrottslighet som ett särskilt prioriterat brottsområde och fokuserar på att samordna insatser och aktörer, kompetens och kapacitetsbyggande samt operationellt och forensiskt stöd. Genom Interpol Global Complex for Innovation (IGCI) i Singapore och avdelningen Interpol Digital Crime Centre tillhandahåller Interpol en global koordineringsfunktion för cyberbrottslighet. Centrets verksamhet omfattar forskning, utbildningar i den senaste tekniken och koordinering av specifika insatser.
32
4 Samhällets informationssäkerhet
4.1Myndighetsorganisationen på informationssäkerhetsområdet
Det finns flera statliga myndigheter med särskilda uppgifter eller uppdrag på informations- och cybersäkerhetsområdet. Myndigheten för samhällsskydd och beredskap (MSB) Post- och telestyrelsen (PTS), Försvarets radioanstalt (FRA), Säkerhetspolisen, Polismyndigheten, Försvarets materielverk (FMV) och Försvarsmakten är sådana myndigheter. Myndigheterna ingår i samverkansgruppen för informationssäkerhet (SAMFI).
4.1.1SAMFI
SAMFI bildades 2003 sedan regeringen föreslagit en strategi för samhällets informationssäkerhet (prop. 2001/02:158 – Samhällets säkerhet och beredskap). Syftet är att underlätta samarbetet mellan vissa myndigheter med uppgifter på informationssäkerhetsområdet.
I samband med att MSB bildades 2009 fick myndigheten ansvaret för SAMFI.
MSB har i samverkan med övriga myndigheter i SAMFI tagit fram en strategi för samhällets informationssäkerhet
Enligt den vision
33
Samhällets informationssäkerhet | Ds 2016:22 |
de medverkande myndigheternas arbete avseende samhällets informationssäkerhet i syfte att uppfylla visionen.
SAMFI berör frågeställningar inom huvudsakligen följande aktivitetsområden:
strategi, handlingsplan och regelverk
tekniska frågor och standardiseringsfrågor
nationell och internationell utveckling inom informationssäkerhetsområdet
informationsaktiviteter
övningar och utbildning
hantering och förebyggande av
MSB avsätter resurser för SAMFI:s kansli. Övriga myndigheter bidrar med resurser vid behov och efter förmåga.
4.1.2Myndigheten för samhällsskydd och beredskap (MSB)
MSB:s ansvarsområden och uppgifter anges i förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap. Enligt 1 § har MSB ansvar för frågor om skydd mot olyckor, krisberedskap och civilt förvar, i den utsträckning inte någon annan myndighet har ansvaret. Ansvaret avser åtgärder före, under och efter en olycka eller en kris. Myndigheten ska
1.utveckla och stödja samhällets beredskap mot olyckor och kriser och vara pådrivande i arbetet med förebyggande och sårbarhetsreducerande åtgärder,
2.arbeta med samordning mellan berörda aktörer i samhället för att förebygga och hantera olyckor och kriser,
3.bidra till att minska konsekvenser av olyckor och kriser,
4.följa upp och utvärdera samhällets krisberedskapsarbete, och
5.se till att utbildning och övningar kommer till stånd inom myndighetens ansvarsområde.
34
Ds 2016:22 | Samhällets informationssäkerhet |
När det gäller förebyggande och förberedande arbete ska MSB enligt 2 § i samverkan med myndigheter, kommuner, landsting, organisationer och företag identifiera och analysera sådana sårbarheter, hot och risker i samhället som kan anses vara särskilt allvarliga. Myndigheten ska vidare tillsammans med de ansvariga myndigheterna genomföra en övergripande planering av åtgärder som bör vidtas. Myndigheten ska värdera, sammanställa och rapportera resultatet av arbetet till regeringen.
Myndigheten ska se till att utbildning inom krisberedskapsområdet tillhandahålls. Myndigheten ska därtill genomföra övningar inom sitt ansvarsområde. Myndigheten ska vid behov stödja Regeringskansliet i utbildnings- och övningsverksamheten inom krisberedskapsområdet. Vidare ska myndigheten se till att ledningsmetoder, stödsystem och materiel för räddningstjänst och krishantering utvecklas och tillhandahålls.(5 §)
MSB ska ha förmågan att bistå med stödresurser i samband med allvarliga olyckor och kriser samt stödja samordningen av berörda myndigheters åtgärder vid en kris. Myndigheten ska se till att berörda aktörer vid en kris får tillfälle att
1.samordna krishanteringsåtgärderna,
2.samordna information till allmänhet och media,
3.effektivt använda samhällets samlade resurser och internationella förstärkningsresurser, och
4.samordna stödet till centrala, regionala och lokala organ ifråga om information och lägesbilder.
Myndigheten ska ha förmågan att bistå Regeringskansliet med underlag och information i samband med allvarliga olyckor och kriser. (7 §)
MSB ska såväl områdesvis som på en övergripande samhällsnivå följa upp och utvärdera krisberedskapen och bedöma om vidtagna åtgärder fått önskad effekt. Myndigheten ska kunna göra en samlad bedömning av olycksutvecklingen och det säkerhetsarbete som är kopplat till denna. (10 §)
Myndigheten ska se till att erfarenheter tas till vara från inträffade olyckor och kriser. Till stöd för detta ska myndigheten tillhandahålla tvärsektoriella och samlade bilder och bedömningar
35
Samhällets informationssäkerhet | Ds 2016:22 |
samt utveckla kompetens och metodik inom området som tillgodoser nationella, regionala och lokala behov. (11 §)
När det gäller informationssäkerhet ska MSB stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Myndigheten ska årligen lämna en rapport till regeringen med en sammanställning av de incidenter som rapporterats in till myndigheten enligt 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Inför sammanställning av rapporten ska myndigheten inhämta upplysningar från Säkerhetspolisen och Försvarsmakten om de incidenter som rapporterats in till de myndigheterna enligt 10 a § säkerhetsskyddsförordningen (1996:633). Myndigheten ska även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan leda till behov av åtgärder på olika nivåer och områden i samhället. (11 a §)
MSB ska ansvara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera
1.agera skyndsamt vid
2.återrapportera till berörda aktörer i samband med att en itincident har rapporterats,
3.samverka med myndigheter med särskilda uppgifter inom informationssäkerhetsområdet, och
4.vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder samt utveckla samarbetet och informationsutbytet med dessa.
Myndigheten ska vara Sveriges kontaktpunkt för skydd av europeisk kritisk infrastruktur enligt artikel 10.1 i rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och
36
Ds 2016:22 | Samhällets informationssäkerhet |
klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna (17 a §).
MSB:s arbete med informationssäkerhet, funktionen
Vid MSB:s avdelning för utveckling av samhällsskydd finns Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet. Dess huvudsakliga uppgift är att stödja och samordna arbetet med samhällets informations- och cybersäkerhet samt arbetet med skydd av samhällsviktig verksamhet. I arbetet ingår att analysera och bedöma omvärldsutvecklingen. Verksamheten svarar för regelgivning och för utveckling av samhällets arbete med kontinuitetshantering och kritiska beroenden. Verksamheten ska lämna råd och stöd i förebyggande arbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Verksamheten svarar för den nationella funktionen för stöd till samhället i arbetet med att hantera och förebygga
Enheten för systematiskt informationssäkerhetsarbete ska lämna råd och stöd om förebyggande informationssäkerhetsarbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. I detta ingår att lämna råd och stöd till statliga myndigheter, kommuner och landsting i arbetet med risk- och sårbarhetsanalyser samt kontinuitetshantering på området informationssäkerhet. Enheten ansvarar för webbplatsen Informationssäkerhet.se. Enheten ansvarar för att analysera och bedöma omvärldsutvecklingen inom sitt område och ska ingå i verksamhetsövergripande analysarbete. Personal från enheten ska vid behov ingå i Nationell operativ samverkansfunktion för cybersäkerhet (NOS).
Enheten för skydd av kritisk infrastruktur och cybersäkerhet ska driva och hålla samman arbetet med skydd av samhällsviktig verksamhet och ansvara för myndighetens uppgifter att vara Sveriges kontaktpunkt för skydd av europeisk kritisk infrastruktur
37
Samhällets informationssäkerhet | Ds 2016:22 |
enligt Europaparlamentet och rådets direktiv 2008/114/EG. I detta ingår att stödja och utveckla samhällets arbete med kontinuitetshantering och kritiska beroenden samt att arbeta med rymdvädersamordning. Enheten ska, med fokus på kritisk informationsinfrastruktur, lämna råd och stöd till tekniskt förebyggande arbete inom området till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Enheten svarar för myndighetens arbete med säkra kryptografiska funktioner för det civila samhället och för arbetet med myndighetens uppdrag vad avser eter- och medieberedskap. Enheten leder och samordnar arbetet med informationssäkerhet i myndighetens externa kommunikationstjänster för ledning och samverkan så att den externa kravställningen tillgodoses. Enheten ansvarar vidare för att analysera och bedöma omvärldsutvecklingen inom sitt område och ingå i verksamhetsövergripande analysarbete. Personal från enheten ska vid behov ingå i Nationell operativ samverkansfunktion för cybersäkerhet (NOS).
Enheten för operativ cybersäkerhet och
38
Ds 2016:22 | Samhällets informationssäkerhet |
Samverkan
MSB deltar i ett flertal samarbeten som rör informations- och cybersäkerhet, både nationellt och internationellt. Bland de internationella samarbetena kan nämnas samarbetet mellan de nordiska CERT- funktionerna, och samarbetet inom nätverket European Government CERTs (EGC) group.
MSB deltar också i
MSB representerar också Sverige i Natos planeringsgrupp för industriella resurser och kommunikation (IRCSG).
När det gäller nationell samverkan ingår MSB bl.a. i den nationella telesamverkansgruppen (NTSG). I gruppen, som har initierats av PTS, ingår utöver MSB operatörer inom sektorn elektronisk kommunikation, Svenska Kraftnät, Teracom, Trafikverket ICT och Försvarmakten. Gruppen verkar i syfte att stödja återställandet av den nationella infrastrukturen för elektroniska kommunikationer vid extraordinära händelser i samhället.
MSB har vidare i samverkan med Totalförsvarets forskningsinstitut (FOI) etablerat Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet (NCS3), som är ett kompetenscentrum med uppdraget att bygga upp och sprida medvetenhet, kunskap och erfarenhet om cybersäkerhetsaspekter inom industriella informations- och styrsystem. Verksamheten vid NCS3 syftar till att minska de risker som nyttjandet av industriella informations- och styrsystem medför för det moderna samhället, speciellt med avseende på avsiktlig störning. Inom NCS3 sker forskning, utbildning och övningar för myndigheter och företag som äger
39
Samhällets informationssäkerhet | Ds 2016:22 |
och/eller arbetar med samhällsviktig verksamhet där industriella informations- och styrsystem ingår.
För att utnyttja samhällets samlade kompetens på informationssäkerhetsområdet har MSB knutit till sig ett informationssäkerhetsråd med representation från både offentlig förvaltning och näringslivet. Rådet består av representanter från Polismyndigheten, PTS, Säkerhetspolisen, FRA, Vattenfall AB, .SE (Stiftelsen för Internetinfrastruktur), Karlstads universitet, Försvarsmakten, Ericsson, Riksbanken, Västra Götalandsregionen, Försvarshögskolan, Riksgälden, FMV och Scania AB. Informationssäkerhetsrådet har i uppgift att bistå MSB med bl.a. information om utvecklingstrender inom området informationssäkerhet samt att bidra till spridning av information om MSB:s arbete med informationssäkerhet i omvärlden.
4.1.3Polismyndigheten
Den 1 januari 2015 ombildades de tidigare 21 polismyndigheterna, Rikspolisstyrelsen och Statens kriminaltekniska laboratorium till en sammanhållen myndighet, Polismyndigheten. Samtidigt ombildades Säkerhetspolisen till en fristående myndighet.
Polismyndighetens arbete syftar till att upprätthålla allmän ordning och säkerhet samt i övrigt tillförsäkra allmänheten skydd och annan hjälp (1 § polislagen [1984:387]). Till Polismyndighetens uppgifter hör att
1.förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten,
2.övervaka den allmänna ordningen och säkerheten och ingripa när störningar har inträffat,
3.utreda och beivra brott som hör under allmänt åtal,
4.lämna allmänheten skydd, upplysningar och annan hjälp, när sådant bistånd lämpligen kan ges av polisen,
5.fullgöra den verksamhet som ankommer på Polismyndigheten enligt särskilda bestämmelser.
40
Ds 2016:22 | Samhällets informationssäkerhet |
Polismyndigheten och Säkerhetspolisen ska samarbeta med varandra och med åklagarmyndigheterna. Polismyndigheten och Säkerhetspolisen ska också samarbeta med andra myndigheter och organisationer vilkas verksamhet berör polisverksamheten. Andra myndigheter ska ge polisen stöd i dess arbete. (6 § polislagen)
Polismyndigheten och Åklagarmyndigheten, och i förekommande fall Säkerhetspolisen, ska tillsammans utveckla verksamheten med att utreda och lagföra brott
Polismyndigheten ska samarbeta med Säkerhetspolisen i den utsträckning som behövs för att polisverksamheten ska kunna bedrivas effektivt. Polismyndigheten och Säkerhetspolisen ska i samråd bestämma och fortlöpande utveckla formerna för samverkan och samordning mellan myndigheterna. (26 § förordningen [2014:1102] med instruktion för Polismyndigheten).
Polismyndigheten ska fortlöpande upplysa Säkerhetspolisen om förhållanden som kan ha betydelse för dess verksamhet. Polismyndigheten ska omedelbart underrätta Säkerhetspolisen om den upptäcker vissa brott, bland annat brott mot 18 eller 19 kap. brottsbalken eller annat brott mot rikets säkerhet samt brott mot lagen (2003:148) om straff för terroristbrott. Säkerhetspolisen får i samråd med Polismyndigheten meddela föreskrifter om vilka andra typer av brott och andra företeelser som kan beröra Säkerhetspolisens ansvarsområde och som Säkerhetspolisen ska underrättas om (27 § förordningen [2014:1102] med instruktion för Polismyndigheten).
Om Säkerhetspolisen i ett enskilt fall begär det och det inte finns särskilda skäl mot det, ska Polismyndigheten bistå vid polisverksamhet som leds av Säkerhetspolisen. Polismyndigheten ska lämna tekniskt biträde och annan hjälp till Säkerhetspolisen i den utsträckning som myndigheterna kommer överens om (28 § förordningen [2014:1102] med instruktion för Polismyndigheten).
41
Samhällets informationssäkerhet | Ds 2016:22 |
4.1.4Säkerhetspolisen
Säkerhetspolisen bedriver i egenskap av säkerhetstjänst underrättelse- och säkerhetsarbete. Säkerhetspolisens huvudsakliga uppgifter och ansvar framgår av 3 § polislagen (1984:387). Till Säkerhetspolisens uppgifter hör att
1.förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott,
2.utreda och beivra sådana brott som anges i 1 eller som följer av 5,
3.fullgöra uppgifter i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,
4.fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),
5.leda annan polisverksamhet om regeringen föreskriver det och i övrigt bedriva sådan verksamhet som framgår av lag eller förordning eller som regeringen uppdragit åt Säkerhetspolisen att i särskilda hänseenden ansvara för.
Säkerhetspolisen får, utöver vad som följer av 47 § säkerhetsskyddsförordningen (1996:633), ge råd om säkerhetsskydd. Säkerhetspolisen får även i övrigt ge råd för att förebygga brott mot rikets säkerhet eller andra särskilt viktiga samhällsintressen.
Polismyndigheten och Säkerhetspolisen ska samarbeta med varandra och med åklagarmyndigheterna. Polismyndigheten och Säkerhetspolisen ska också samarbeta med andra myndigheter och organisationer vilkas verksamhet berör polisverksamheten. Andra myndigheter ska ge polisen stöd i dess arbete. (6 § polislagen)
Säkerhetspolisen ska samarbeta med Polismyndigheten i den utsträckning som behövs för att polisverksamheten ska kunna bedrivas effektivt. Säkerhetspolisen och Polismyndigheten ska i samråd bestämma och fortlöpande utveckla formerna för samverkan och samordning mellan myndigheterna. Säkerhetspolisen bör, i den utsträckning sekretess inte hindrar det, upplysa Polismyndigheten om förhållanden som kan ha betydelse för dess verksamhet. Om Polismyndigheten i ett enskilt fall begär det och det inte finns särskilda skäl mot det, ska Säkerhetspolisen bistå vid polisverksamhet som leds av Polismyndigheten. Säkerhetspolisen ska lämna tekniskt
42
Ds 2016:22 | Samhällets informationssäkerhet |
biträde och annan hjälp till Polismyndigheten i den utsträckning som myndigheterna kommer överens om
4.1.5Övriga myndigheter i SAMFI
Post- och telestyrelsen (PTS)
Post- och telestyrelsen (PTS) är den myndighet som bevakar områdena elektronisk kommunikation och post i Sverige. Begreppet elektronisk kommunikation innefattar telekommunikationer, it och radio. PTS ska verka för att målen inom politiken för informationssamhället uppnås. PTS har till uppgift att bl.a. verka för robusta elektroniska kommunikationer och minska risken för störningar samt verka för ökad krishanteringsförmåga. PTS har vidare i uppgift att verka för ökad nät- och informationssäkerhet i fråga om elektronisk kommunikation, genom samverkan med myndigheter som har särskilda uppgifter inom
PTS är tillsynsmyndighet enligt lagen (2003:389)om elektronisk kommunikation (LEK). LEK reglerar villkoren för att tillhandahålla elektroniska kommunikationstjänster. Bestämmelserna i LEK syftar till att enskilda och myndigheter ska få tillgång till säkra och effektiva elektroniska kommunikationer och största möjliga utbyte vad gäller urvalet av elektroniska kommunikationstjänster samt deras pris och kvalitet (1 §). I lagen finns bl.a. bestämmelser om säkerhet som gäller för den som tillhandahåller ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst. Till skillnad från bland andra Säkerhetspolisen, FRA och MSB, har PTS inte något ansvar för att inhämta, analysera eller vidare-
43
Samhällets informationssäkerhet | Ds 2016:22 |
förmedla information om informationssäkerheten på myndigheterna i statsförvaltningen. PTS har i stället ett sektorsansvar som innefattar bland annat tillsyn över de aktörer som tillhandahåller elektroniska kommunikationer (tjänster och nät) oavsett associationsrättslig form.
PTS är mottagare av rapporter om integritetsincidenter respektive driftsincidenter enligt LEK.
PTS utövar tillsyn även enligt bl.a. lagen (2006:24) om nationella toppdomäner för Sverige på Internet.
PTS ansvarade tidigare för Sveriges
Försvarsmakten
Försvarsmakten ska upprätthålla och utveckla ett militärt försvar som ytterst kan möta ett väpnat angrepp. Försvarsmakten ska försvara Sverige och främja svensk säkerhet.
Bland Försvarsmaktens verksamhetsuppgifter ingår att bedriva omvärldsbevakning och upptäcka och identifiera yttre hot mot Sverige och svenska intressen samt ta fram underlag för beslut om höjd beredskap. Försvarsmakten ska även bedriva försvarsunderrättelseverksamhet, leda och bedriva militär säkerhetstjänst, leda och samordna signalskyddstjänsten, inklusive arbetet med säkra kryptografiska funktioner som är avsedda att skydda skyddsvärd information, samt biträda Regeringskansliet i frågor som rör kryptoverksamhet och annan signalskyddsverksamhet.
Försvarsmakten har ansvar för kontroll av säkerhetsskyddet när det gäller Fortifikationsverket, Försvarshögskolan och de myndigheter som hör till Försvarsdepartementet. Försvarsmakten får också meddela föreskrifter om verkställigheten av säkerhetsskyddslagen (1996:627) för sitt tillsynsområde, dock inte när det gäller
44
Ds 2016:22 | Samhällets informationssäkerhet |
omfattningen av inventeringen av vissa hemliga handlingar. (39 och 44 §§ säkerhetsskyddsförordningen [1996:633])
Huvuddelen av Försvarsmaktens uppgifter enligt säkerhetsskyddsförordningen hanteras av den militära underrättelse- och säkerhetstjänsten (MUST), som är en del av Försvarsmakten.
Den militära säkerhetstjänstens uppgift är att ta tillvara de säkerhetsintressen som främst berör Försvarsmakten och dess tillsynsområde enligt säkerhetsskyddslagstiftningen samt att samverka rörande skyddet av rikets säkerhet och skydd mot terrorism med Säkerhetspolisen. Den militära säkerhetstjänsten består av säkerhetsunderrättelsetjänst, säkerhetsskyddstjänst och signalskyddstjänst, där signalskyddstjänsten är att anse som en säkerhetsskyddsangelägenhet.
I egenskap av tillsynsmyndighet avseende säkerhetsskyddet hos vissa myndigheter är Försvarsmakten mottagare av
Försvarsmakten ansvarar för skydd av sina egna lednings- och informationssystem.
Försvarets materielverk (FMV)
Försvarets materielverk levererar försvarslogistik genom att utforma och förse försvaret med försvarsmateriel och logistiktjänster. Försvarets materielverk ska på uppdrag av Försvarsmakten vidmakthålla, destruera och kassera varor, upphandla byggentreprenader, varor och tjänster och tillhandahålla logistiktjänster (1 § förordningen [2007:854] med instruktion för Försvarets materielverk). Vid Försvarets materielverk finns ett nationellt certifieringsorgan för
45
Samhällets informationssäkerhet | Ds 2016:22 |
Försvarets radioanstalt (FRA)
Försvarets radioanstalt (FRA) har till uppgift att bedriva signalspaning enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet och till lagen anslutande förordning (1 § förordningen [2007:93] med instruktion för Försvarets radioanstalt). Signalspaning i försvarsunderrättelseverksamhet får endast ske i de fall regeringen eller vissa i lagen särskilt utpekade myndigheter närmare har bestämt inriktningen av signalspaningen. Signalspaningen får vidare ske endast i vissa syften, bl.a. för att kartlägga yttre militära hot mot landet, strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen, allvarliga yttre hot mot samhällets infrastrukturer, främmande underrättelseverksamhet mot svenska intressen, eller främmande makts agerande eller avsikter av väsentlig betydelse för svensk
FRA ska särskilt följa förändringen av signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten, och utföra matematiska bedömningar av kryptosystem för totalförsvaret. FRA ska också biträda andra myndigheter vid värdering, utveckling, anskaffning och drift av signalspaningssystem. (2 och 3 §§ förordningen [2007:937] med instruktion för Försvarets radioanstalt)
FRA ska vidare ha hög teknisk kompetens inom informationssäkerhetsområdet. FRA får efter begäran stödja sådana statliga myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende. FRA ska särskilt kunna stödja insatser vid nationella kriser med
46
Ds 2016:22 | Samhällets informationssäkerhet |
(4 § förordningen [2007:937] med instruktion för Försvarets radioanstalt)
4.2Reglering av säkerhetsskydd, krishantering och informationssäkerhetsarbete
Ett flertal författningar berör frågor om samhällets informationssäkerhet. Här redovisas översiktligt ett urval av sådana författningar som bedöms vara av särskilt intresse för utredningen.
4.2.1Säkerhetsskyddslagstiftningen
Bestämmelser om säkerhetsskydd finns i säkerhetsskyddslagen (1996:627). Med säkerhetsskydd avses skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), OSL, och som rör rikets säkerhet, och skydd mot terroristbrott (terrorism) enligt lagen (2003:148) om straff för terroristbrott, även om brotten inte hotar rikets säkerhet (6 §). Lagen gäller för staten, kommunerna och landstingen samt för bolag, föreningar och stiftelser som dessa har ett rättsligt bestämmande inflytande över. Lagen gäller också för enskilda, om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. Säkerhetsskyddet ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (informationssäkerhet), att obehöriga får tillträde till platser där de kan få tillgång till sådana uppgifter eller där verksamhet som har betydelse för rikets säkerhet bedrivs (tillträdesbegränsning), och att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet (säkerhetsprövning). Säkerhetsskyddet ska även i övrigt förebygga terrorism (7 §). Vid utformningen av informationssäkerheten ska behovet av skydd vid automatisk informationsbehandling beaktas särskilt (9 §).
Närmare bestämmelser om säkerhetsskydd finns i säkerhetsskyddsförordningen (1996:633). Myndigheter och andra som förordningen gäller för ska undersöka vilka uppgifter i deras verksamhet som ska hållas hemliga med hänsyn till rikets säkerhet och vilka
47
Samhällets informationssäkerhet | Ds 2016:22 |
anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism. Resultatet av denna undersökning (säkerhetsanalys) ska dokumenteras. (5 §)
När det gäller informationssäkerhet gäller bl.a. att hemliga handlingar som är av synnerlig betydelse för rikets säkerhet ska inventeras minst en gång per år (9 §). Om en hemlig uppgift kan ha röjts ska det skyndsamt anmälas till Säkerhetspolisen, om röjandet kan antas medföra men för rikets säkerhet som inte endast är ringa (10 §). En myndighet ska skyndsamt anmäla till den myndighet som enligt 39 § utövar tillsyn över säkerhetsskyddet om det inträffat en
48
Ds 2016:22 | Samhällets informationssäkerhet |
Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten. (13 §)
Säkerhetspolisen och Försvarsmaketen har ansvaret för att kontrollera säkerhetsskyddet hos myndigheterna (39 §). Säkerhetspolisen och Försvarsmakten har vidare, med stöd av
4.2.2Förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap
Förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap beslutades i december 2015 och ersatte den tidigare gällande förordningen (20016:942) om krisberedskap och höjd beredskap. Förordningen innehåller liksom sin föregångare föreskrifter som bl.a. reglerar krisberedskapen. Bestämmelserna syftar till att statliga myndigheter genom sin verksamhet ska minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter under fredstida krissituationer och inför och vid höjd beredskap. Med krisberedskap avses förmågan att genom utbildning, övning och andra åtgärder samt genom den organisation och de strukturer som skapas före, under och efter en kris förebygga, motstå och hantera krissituationer. Varje myndighet, vars ansvarsområde berörs av en krissituation, ska vidta de åtgärder som behövs för att hantera konsekvenserna av denna. Myndigheterna ska samverka och stödja varandra vid en sådan krissituation.
När det gäller informationssäkerhet ansvarar varje myndighet för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Därvid ska behovet av säkra ledningssystem särskilt beaktas. (19 §)
Genom förordningen infördes den obligatoriska
49
Samhällets informationssäkerhet | Ds 2016:22 |
MSB:s tillämpningsföreskrifter
Med stöd av 21 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap har MSB utfärdat föreskrifter på informationssäkerhetsområdet.
Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1) ansluter till 19 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Enligt föreskrifterna ska varje myndighet bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. Med ledningssystem för informationssäkerhet avses ett sätt för organisationens ledning att på ett systematiskt sätt styra arbetet med informationssäkerhet i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksamhetens informationshantering. Tillräckliga resurser ska tilldelas för informationssäkerhetsarbetet samt löpande och regelbunden information lämnas till myndighetsledningen. Ledningssystemet ska utformas utifrån verksamhetens behov och vara styrande för all hantering av information som myndigheten ansvarar för. En myndighet ska vidare upprätta bl.a. en informationssäkerhetspolicy. Av informationssäkerhetspolicyn ska ansvarsfördelningen för verksamhetens informationsmängder framgå. Myndigheten ska eftersträva en god säkerhetskultur där alla i organisationen har kunskap om och förståelse för behoven av säker informationshantering. I syfte att hantera hot och risker som rör informationssäkerheten i verksamheten ska myndigheten bl.a. klassa information med utgångspunkt i konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser som kan uppstå av ett bristande skydd. Utifrån informationsklassningen ska myndigheten genomföra analys av hot och risker samt identifiera och vidta de åtgärder som krävs för att uppfylla skyddsbehovet. Myndigheten ska också följa upp och utvärdera vidtagna åtgärder och gjorda bedömningar av hot och risker samt kontinuerligt utveckla skyddet för att över tid upprätthålla informationens behov av säkerhet. Myndigheten ska slutligen bl.a. ha rutiner för att identifiera, rapportera, bedöma, hantera och dokumentera incidenter som kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten till-
50
Ds 2016:22 | Samhällets informationssäkerhet |
handahåller åt en annan organisation. Myndigheten ska ha rutiner för att lära av sådana inträffade incidenter och utförda åtgärder.
MSB har också utfärdat föreskrifter om civila myndigheters kryptoberedskap (MSBFS 2009:11) och om statliga myndigheters risk- och sårbarhetsanalyser (MSBFS 2015:3). MSB har också utfärdat föreskrifter om statliga myndigheters rapportering av itincidenter, se avsnitt 4.3.3.
4.3Särskilt om obligatorisk
Regeringen beslutade i december 2015 förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Genom förordningen infördes den nya ordningen med obligatorisk
4.3.1Bakgrund till reformen
Regeringen har vid ett flertal tillfällen under lång tid uttalat behovet av en funktion för
I prop. 2001/02:158, Samhällets säkerhet och beredskap, redovisade regeringen en organisatorisk struktur för informationssäkerheten i samhället. Som ett led i detta inrättades en
I prop. 2003/04:93, Några frågor om sekretess, m.m., framhölls vikten av att myndigheter och enskilda organisationer rapporterade
51
Samhällets informationssäkerhet | Ds 2016:22 |
I propositionen 2004/05:175, Från
I prop. 2007/08:92, Stärkt krisberedskap – för säkerhets skull, uttalade regeringen att en samlad lägesbild utgör grunden för att aktörerna i krisberedskapssystemet ska kunna genomföra lämpliga åtgärder och samverka och att förmågan att skapa samlade lägesbilder borde stärkas. Regeringen uttalade att samhällets resurser behöver samordnas och samverka vid kriser för att utnyttjas på ett effektivt sätt. Det ansågs inte tillräckligt att inom det egna ansvarsområdet ha en uppfattning om vad som har hänt, vilka konsekvenserna blir och vad det ställer för krav på agerande. Det krävs också en uppfattning om hur andra aktörer har uppfattat krisen och vilka åtgärder de vidtar. Det egna agerandet måste sättas in i ett bredare perspektiv. Därför finns det ett behov av samlade lägesbilder och samlad lägesuppfattning som sträcker sig över sektorsgränser och ansvarsnivåer, nationellt och i vissa fall även inom EU och internationellt.
I budgetpropositionen för 2010 (prop. 2009/10:1, utgiftsområde 6) uttalade regeringen återigen att det fanns ett behov av att samla resurserna för att skapa goda förutsättningar för att förebygga
För att stärka samhällets informationssäkerhet och förmåga att förebygga och hantera
52
Ds 2016:22 | Samhällets informationssäkerhet |
incidentrapportering för statliga myndigheter kunde utformas (Fö2010/701/SSK). MSB redovisade uppdraget 2011 och föreslog en dubbelriktad rapporteringsprocess för inrapportering till
I budgetpropositionen för 2012 (prop. 2011/12:1, utgiftsområde 6) angavs beträffande informationssäkerhet att anpassning av skyddsåtgärder är viktigt i arbetet med skydd av samhällsviktig verksamhet. Regeringen uttalade att sådan anpassning förutsätter kännedom om antal incidenter och omfattning, för att förstärka möjligheten till samlat agerande vid
MSB fick under 2012 i regeringsuppdrag att göra en fördjupad analys av sitt tidigare förslag om obligatorisk
I budgetpropositionen för 2013 (prop. 2012/13:1 utgiftsområde 6) upprepade regeringen att information om det aktuella läget vid en allvarlig händelse är en förutsättning för att de inblandade aktörerna ska få en ömsesidig förståelse för situationen och kunna bedriva samordnade åtgärder. Regeringen uttalade vidare att det krävs mycket god kunskap om hur normalläget ser ut för att kunna agera vid allvarliga
53
Samhällets informationssäkerhet | Ds 2016:22 |
aktörer och kontakter med nyckelaktörer både nationellt och internationellt.
I budgetpropositionen för 2014 (prop 2013/14:1, utgiftsområde 6) uttalade regeringen återigen att information om det aktuella läget vid en allvarlig händelse är en förutsättning för att de inblandade aktörerna ska få en ömsesidig förståelse för situationen och kunna bedriva samordnade åtgärder. Ett system för obligatorisk
I budgetpropositionen för 2015 (prop. 2014/15:1, utgiftsområde 6) uttalade regeringen att informationssäkerhet är en prioriterad fråga och dessutom en del i arbetet med att nå målen för Sveriges säkerhet och samhällets krisberedskap. Regeringen hänvisade vidare till utredningen om strategi och mål för överföring av information i elektroniska kommunikationsnät och
4.3.2NISU 2014
I mars 2015 överlämnade NISU 2014 sitt betänkande Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten (SOU 2015:23). I betänkandet föreslog utredningen bl.a. att ett obligatoriskt system för
Utredningen konstaterade att det fanns en tydlig politisk vilja i Sverige att genom en förstärkt
54
Ds 2016:22 | Samhällets informationssäkerhet |
Utredningen hänvisade också till Riksrevisionens rapport
Informationssäkerheten i den civila statsförvaltningen (RiR 2014:23), där det konstateras att varken regeringen eller stöd- eller tillsynsmyndigheterna har den fulla bilden av i vilken omfattning hot realiseras eller vilka skyddsåtgärder som myndigheterna vidtar. Utredningen instämde i Riksrevisionens rekommendation till regeringen om att införa obligatorisk incidentrapporteringför samtliga myndigheter.
Med hänsyn tagen särskilt till Försvarsmaktens och Säkerhetspolisens utpekade uppgifter inom säkerhetsskyddet, borde enligt utredningens mening rapportering av
Enligt NISU 2014 borde i övrigt MSB, med hänsyn till det uppdrag som MSB enligt sin instruktion har på informationssäkerhetsområdet, vara den myndighet som tar emot rapporterna. Utredningen föreslog också att MSB skulle ges rätt att utfärda verkställighetsföreskrifter om den närmare utformningen av ett system för obligatorisk incidentrapportering.
Betänkandet remitterades. Från Polismyndigheten framfördes under remissförfarandet vissa synpunkter på utformningen av utredningens förslag om obligatorisk
55
Samhällets informationssäkerhet | Ds 2016:22 |
utgångspunkt är det viktigt att polisen i ett inledande skede får vetskap om incidenterna för att kunna bedöma om brott föreligger. Polismyndigheten betonade att tidsfaktorn ofta är avgörande i ärenden som gäller
4.3.3
I december 2015 beslutade regeringen förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap, och att därvid införa obligatorisk
En
Förordningen trädde ikraft den 1 april 2016. Statliga myndigheter blev då skyldiga att, till stöd för arbetet med samhällets informationssäkerhet, skyndsamt rapportera
56
Ds 2016:22 | Samhällets informationssäkerhet |
myndigheters åtgärder vid höjd beredskap) En myndighet som tillhandahåller tjänster åt en annan organisation ska i samband med rapportering informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten.
Rapporteringsskyldigheten omfattar inte incidenter som enligt 10 a § säkerhetsskyddsförordningen (1996:633) ska rapporteras till Säkerhetspolisen eller Försvarsmakten. Exempel på sådana incidenter är incidenter i informationssystem där hemliga uppgifter som rör rikets säkerhet behandlas eller i system som särskilt behöver skyddas mot terrorism.
Om det kan antas att en incident som rapporterats till MSB har sin grund i en brottslig gärning, ska MSB skyndsamt uppmana den rapporterande myndigheten att anmäla incidenten till polisen.
MSB:s tillämpningsföreskrifter
MSB har med stöd av bemyndigande meddelat föreskrifter, MSBFS 2016:2, om statliga myndigheters rapportering av
1.störning i mjuk- eller hårdvara,
2.störning i driftmiljö,
3.informationsförlust eller informationsläckage,
4.informationsförvanskning,
5.hindrad tillgång till information,
6.säkerhetsbrist i en produkt,
7.angrepp,
8.handhavandefel,
9.oönskad eller oplanerad störning i kritisk infrastruktur, eller
10.annan plötslig oförutsedd händelse som lett till skada.
Enligt 4 § ska varje myndighet rapportera en
57
Samhällets informationssäkerhet | Ds 2016:22 |
Rapporterna ska enligt 5 § lämnas till MSB via anvisade kontaktvägar.
Enligt 6 § ska en rapport innehålla
1.myndighetens namn,
2.en beskrivning av
3.den exakta eller uppskattade tidpunkten för när
4.när myndigheten upptäckte
5.till vilken eller vilka kategorier enligt 3 § som
6.myndighetens initiala bedömning av
I rapporten ska om möjligt även anges bedömd sekretess för den information som rapporteras in. Om den rapporterande myndigheten vid sin interna incidentutredning konstaterar att inrapporterade uppgifter om kategorier, omfattning och konsekvenser varit missvisande eller felaktiga ska myndigheten komplettera eller korrigera sin rapport så snart som möjligt.
På begäran av MSB ska en rapporterande myndighet enligt 7 § lämna uppgifter som kompletterar rapporteringen enligt 6 §. Sådana uppgifter ska lämnas snarast, om inget annat överenskommits med MSB.
Enligt 8 § får en myndighet som inte kan lämna en rapport enligt 6 § i samråd med MSB lämna en preliminär rapport. Samråd ska ske innan tidsfristen för rapportering enligt 4 § går ut. Rapporten ska innehålla den information som finns att tillgå vid inrapporteringstillfället samt när myndigheten upptäckte
Om en myndighet överlåter en del av sin informationshantering till en icke statlig aktör ska myndigheten, enligt 9 §, i överlåtelse-
58
Ds 2016:22 | Samhällets informationssäkerhet |
avtalet se till att motparten åtar sig att rapportera
En myndighet som har polisanmält en
Något om tillämpningen hittills
Den nya ordningen med obligatorisk
Utredningen har under arbetets gång tagit del av uppgifter från MSB om omfattningen och karaktären av de
MSB har före införandet av obligatorisk
Av vad utredningen inhämtat från MSB tyder rapporteringen under april och maj 2016 på att antalet rapporterade incidenter under 2016 kommer att öka i förhållande till tidigare år, men att ökningen inte kommer vara dramatisk. Av de rapporterade incidenterna är en mindre andel sådana att de av rapporterande myndighet har klassats som ett angrepp, där det kan antas att incidenten har sin grund i en brottslig gärning.
MSB har i dessa fall i enlighet med förordningens bestämmelse uppmanat den rapporterande myndigheten att anmäla incidenten
59
Samhällets informationssäkerhet | Ds 2016:22 |
till polisen. MSB har inte lämnat uppgifter om dessa incidenter till Polismyndigheten och heller inte närmare följt upp om rapporterande myndigheter fullföljt uppmaningen att polisanmäla.
Såvitt utredningen har kunnat utröna har ingen av de incidenter som rapporterats till MSB under april och maj månad 2016 anmälts till Polismyndigheten av den rapporterande myndigheten.
4.3.4Incidentrapportering enligt säkerhetskyddsförordningen och lagen om elektronisk kommunikation
Jämte bestämmelserna i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap finns ytterligare bestämmelser om rapporteringsskyldighet för
Incidentrapportering enligt säkerhetsskyddsförordningen (1996:633)
Säkerhetskyddsförordningen (1996:633) gäller för myndigheter, kommuner och landsting samt för vissa bolag, föreningar, stiftelser och enskilda enligt bestämmelser i säkerhetsskyddslagen (1996:627).
En myndighet, och andra som omfattas av förordningens krav, ska skyndsamt till den myndighet som utövar tillsyn över säkerhetsskyddet anmäla om det inträffat en
1.incidenten allvarligt kan påverka säkerheten i ett informationssystem där hemliga uppgifter behandlas i en omfattning som inte är ringa,
2.incidenten allvarligt kan påverka säkerheten i ett informationssystem som särskilt behöver skyddas mot terrorism, eller
3.incidenten upptäckts genom stöd enligt 4 § förordningen (2007:937) med instruktion för Försvarets radioanstalt.
Försvarsmakten är tillsynsmyndighet när det gäller Fortifikationsverket, Försvarshögskolan och de myndigheter som hör till Försvarsdepartementet. Säkerhetspolisen är tillsynsmyndighet när det gäller övriga myndigheter utom Justitiekanslern. Om incidenten ska rapporteras till Försvarsmakten, ska den rapport-
60
Ds 2016:22 | Samhällets informationssäkerhet |
erande myndigheten också skyndsamt informera Säkerhetspolisen. (10 a § och 39 § säkerhetsskyddsförordningen [1996:633])
Rapportering enligt säkerhetsskyddsförordningen ersätter sådan rapportering som annars enligt 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska göras till MSB.
Incidentrapportering enligt lagen (2003:389) om elektronisk kommunikation
Den som tillhandahåller ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst är skyldig att utan onödigt dröjsmål rapportera störningar eller avbrott av betydande omfattning till PTS (5 kap. 6 c § lagen [2003:389] om elektronisk kommunikation, LEK). Av Post- och telestyrelsens föreskrifter och allmänna råd om rapportering av störningar eller avbrott av betydande omfattning (PTSFS 2012:2) framgår på vilket sätt den skyldigheten ska fullgöras och om undantag från skyldigheten.
Den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster ska utan onödigt dröjsmål underrätta PTS om integritetsincidenter. Med integritetsincident avses en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om tillsynsmyndigheten begär det, ska även dessa underrättas utan onödigt dröjsmål. (6 kap. 1 och 4 a §§ LEK).
4.4Samhällets insatser mot
En viktig del av samhällets insatser på informationssäkerhetsområdet är kriminaliseringen av vissa handlingar och de brottsbekämpande myndigheternas verksamhet med att förebygga, ingripa mot och utreda sådan brottslighet. Att
61
Samhällets informationssäkerhet | Ds 2016:22 |
stort värde vid utformningen av olika skyddsåtgärder. En effektiv lagföring av
4.4.1Brottsbalken
Incidenter som omfattas av rapporteringsskyldigheten enligt förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap kan innefatta brottsliga handlingar.
Ett brott med uttrycklig koppling till it och
Allvarliga angrepp som riktas mot egendom som har avsevärd betydelse för rikets försvar, folkförsörjning, rättsskipning, förvaltning eller upprättande av allmän ordning och säkerhet kan vara att bedöma som sabotage eller grovt sabotage enligt 13 kap. 4 och 5 §§ brottsbalken.
4.4.2Polismyndigheten och dess nationella
Till Polismyndighetens uppgifter hör bl.a. att förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten. Polismyndigheten ska utreda och beivra brott som hör under allmänt åtal.
Polismyndigheten organiseras i sju polisregioner, sju nationella avdelningar och ett kansli. Myndigheten leds av en rikspolischef.
62
Ds 2016:22 | Samhällets informationssäkerhet |
Polisregionerna har helhetsansvar för polisverksamheten inom ett angivet geografiskt område. Ansvaret omfattar bland annat utredningsverksamhet, brottsförebyggande verksamhet och service. Arbetet i regionen leds av en regionpolischef.
De nationella avdelningarna utgörs av nationella operativa avdelningen (NOA), nationellt forensiskt centrum (NFC),
Vid Polismyndigheten finns även internrevisionen samt avdelningen för särskilda utredningar, som utreder anmälningar mot anställda inom Polismyndigheten.
Den operativa verksamheten leds av NOA, som stödjer polisregionerna i olika typer av verksamheter. NOA har mandat att besluta om insatser och resursförstärkningar i hela landet. Vidare ska NOA vara nationell kontaktpunkt mot Säkerhetspolisen, Försvarsmakten och Försvarets radioanstalt, och ansvara för att hantera känslig information om till exempel terrorism och signalspaning. NOA ska även ansvara för samordning, beredning och uppföljning av den myndighetsgemensamma särskilda satsningen mot grov organiserad brottslighet.
Den 1 oktober 2015 inrättade Polismyndigheten ett nationellt
Centret utgör en nationell expertresurs och skapar förutsättningar för en ökad enhetlighet för utredning och uppklarning av itrelaterade brott.
nationella deskfunktion för
expertfunktion för handläggning av komplexa
samverkanspartner med Säkerhetspolisen när det gäller hot och utredningar rörande kritisk infrastruktur
nationella kontaktpunkt för andra myndigheter rörande frågor om kritisk infrastruktur och komplex
63
Samhällets informationssäkerhet | Ds 2016:22 |
internationell kontaktpunkt för utländska rättsvårdande myndigheter och andra aktörer, t.ex. på sociala medier,
och;
hantera hot mot
samverka med Nationellt forensiskt centrum och Nationellt bedrägericenter
ansvara för kontakterna med och hanteringen och samordningen av underrättelser inom European Cyber Crime Center (EC3)
utgöra dess svenska motsvarighet – Swedish Cyber Crime Center (SC3)
utöva processansvar för myndighetens arbete med komplex itbrottslighet
uppnå enhetlighet för svensk polis inom ramen för processansvaret genom att sätta förmåga på nationell, regional, område och lokal nivå. På regional, eller på polisområdesnivå ska det finnas förmåga att utreda
4.4.3Säkerhetspolisen
Säkerhetspolisen är Sveriges civila säkerhetstjänst med uppgift att bedriva personskyddsverksamhet, förebygga och avslöja brott mot rikets säkerhet samt bedriva terrorismbekämpning. Säkerhetspolisen är också utredande polis vid brott mot rikets säkerhet och terroristbrott.
Säkerhetspolisen arbetar bl.a. med att förebygga brottsliga handlingar i form av spionage som sker genom s.k. elektroniska angrepp. Arbetet består i första hand av säkerhetsskyddsåtgärder och utredning av särskilt skyddsvärda verksamheter. Säkerhetspolisen arbetar också med att förebygga allvarliga elektroniska
64
Ds 2016:22 | Samhällets informationssäkerhet |
angrepp riktade mot samhällsviktiga
Enheterna informationssäkerhet samt utredning, båda vid avdelningen för åtgärder, ansvarar för bl.a. bevissäkring i
Säkerhetspolisen har ett omfattande samarbete såväl nationellt som internationellt. En stor del handlar om informations- och erfarenhetsutbyte. Det handlar också om att bistå och själva få hjälp av andra i olika utredningar eller insatser.
Nationellt samarbetar Säkerhetspolisen främst med underrättelsemyndigheter och brottsbekämpande organ som Militära underrättelse- och säkerhetstjänsten, Försvarets radioanstalt, Polismyndigheten och Ekobrottsmyndigheten. En stor del av samarbetet handlar om informations- och erfarenhetsutbyte men är också operativt, till exempel stöd till Polismyndigheten i brottsutredningar i form av expertkunskaper, hotbilder, spaning och analys. Säkerhetspolisen samverkar också med dem som omfattas av säkerhetsskyddslagstiftningen, dvs. myndigheter, kommuner och landsting samt vissa företag.
Säkerhetspolisen ingår tillsammans med Militära underrättelse- och säkerhetstjänsten och Försvarets radioanstalt i samverkansgruppen Nationell samverkan till skydd mot allvarliga
65
Samhällets informationssäkerhet | Ds 2016:22 |
4.4.4Åklagarmyndigheten
Det övergripande målet för kriminalpolitiken är att minska brottsligheten och att öka människors trygghet. Åklagarväsendet ska bidra genom att de som begår brott ställs till ansvar och att detta sker på ett effektivt och rättssäkert sätt.
Åklagarmyndigheten omfattar samtliga åklagare i Sverige med undantag för de som är anställda på Ekobrottsmyndigheten. Riksåklagaren är landets högsta åklagare och enda allmänna åklagare i Högsta domstolen. Riksåklagaren är också chef för Åklagarmyndigheten.
Den operativa åklagarverksamheten utövas i sju geografiska åklagarområden och en nationell åklagaravdelning. Åklagarområdena består av landets 32 allmänna kammare, som har ett geografiskt arbetsfält ungefär motsvarande ett län. De allmänna åklagarkammarna handlägger i stort sett samtliga brott inom sitt geografiska område.
Myndigheten har också tre internationella åklagarkammare. Här finns specialistkompetens för att bekämpa den organiserade, gränsöverskridande brottsligheten och för det internationella åklagarsamarbetet. Internationella åklagarkamrarna i Malmö och Göteborg ingår i Åklagarområde Syd respektive Väst.
Nationella åklagaravdelningen består av de riksenheter som har ett nationellt ansvar. De handlägger samtliga brott, oavsett geografisk hemvist, inom sina respektive ansvarsområden. De kammare som ingår i Nationella avdelningen är Riksenheten för miljö- och arbetsmiljömål, Riksenheten mot korruption och Riksenheten för säkerhetsmål. Dessutom ingår Internationella åklagarkammaren Stockholm.
Särskilda åklagarkammaren är en nationell operativ enhet inom Åklagarmyndigheten. Kammaren är direkt underställd riksåklagaren och handlägger främst misstankar om brott av poliser, åklagare, domare, riksdagsmän och vissa andra befattningshavare.
Åklagarmyndighetens tre utvecklingscentrum har i uppgift att bedriva metod- och rättsutveckling inom olika brottsområden. Rättslig uppföljning och tillsyn utövas också här. Ett exempel är att alla överprövningar av åklagarbeslut handläggs av utvecklingscentrumen. Utvecklingscentrumen svarar för den samlade kunskapen inom sina ansvarsområden.
66
Ds 2016:22 | Samhällets informationssäkerhet |
På huvudkontoret finns centrala funktioner för bland annat information, ekonomi, personal och it. Dessutom finns en rättsavdelning för rättslig information, verksamheten i Högsta domstolen och centrala internationella frågor samt en tillsynsavdelning för rättslig tillsyn.
Vid Åklagarmyndigheten finns ett insynsråd. Ledamöterna utses av regeringen. Insynsrådets uppgift är att utöva insyn och ge myndighetschefen råd. Rådet har inga beslutsbefogenheter. Ärenden om åklagaruppgiften eller tillsynsfrågor i enskilda fall behandlas inte i insynsrådet.
4.5Brottsutredning och lagföring
Polismans rapporteringsskyldighet
När en polisman får kännedom om ett brott som hör under allmänt åtal, ska han lämna rapport om det till sin förman så snart det kan ske. En polisman får lämna rapporteftergift om brottet med hänsyn till omständigheterna i det särskilda fallet är obetydligt och det är uppenbart att brottet inte skulle föranleda annan påföljd än böter. (9 § polislagen [1984:387])
Förundersökning
Till Polismyndighetens uppgifter hör bland annat att utreda och beivra brott som hör under allmänt åtal (2 § 3 polislagen). Den del av verksamheten som utgör förundersökning är reglerad i 23 § rättegångsbalken.
Polisen bedriver också s.k. underrättelseverksamhet. Med underrättelseverksamhet avses polisverksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken (se definitionen i 3 § i den gamla polisdatalagen).
Förundersökning ska inledas så snart det på grund av angivelse eller av annat skäl finns anledning att anta att ett brott som hör under allmänt åtal har förövats. Det föreligger alltså förundersökningsplikt. Undantag från förundersökningsplikten gäller om det är
67
Samhällets informationssäkerhet | Ds 2016:22 |
uppenbart att brottet inte går att utreda eller om det finns förutsättningar för så kallad förundersökningsbegränsning, eller saken rör brott som kan antas leda bara till böter eller brott som begås under rättegång. Om det krävs angivelse för att brottet ska höra under allmänt åtal, får förundersökning trots det inledas utan angivelse, om det innebär fara att avvakta en angivelse. I så fall ska målsäganden underrättas snarast. Om målsäganden då inte anger brottet till åtal, ska förundersökningen läggas ned. (23 kap. 1 § rättegångsbalken med hänvisningar)
Under förundersökningen ska utredas vem som skäligen kan misstänkas för brottet och om tillräckliga skäl finns för åtal. Förundersökningen ska bedrivas så att bevisningen kan läggas fram i ett sammanhang vid huvudförhandling i domstol. (23 kap. 2 § rättegångsbalken)
Beslut att inleda förundersökning fattas av Polismyndigheten, Säkerhetspolisen eller åklagaren. Har förundersökningen inletts av Polismyndigheten eller Säkerhetspolisen och är saken inte av enkel beskaffenhet, ska ledningen av förundersökningen om brottet övertas av åklagaren, så snart någon skäligen kan misstänkas för brottet. (23 kap. 3 § rättegångsbalken) Oavsett vem som leder förundersökningen utförs som regel själva utredningsarbetet av polismän eller andra anställda inom polisväsendet.
Under en förundersökning används straffprocessuella tvångsmedel i brottsutredande syfte eller för att en rättegång i brottmål ska kunna genomföras. Exempel på sådana tvångsmedel är beslag, avspärrning av brottsplats m.m., hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation och hemlig kameraövervakning (27 kap. rättegångsbalken). En grundläggande förutsättning för att använda straffprocessuella tvångsmedel är normalt att en förundersökning har inletts. Användningen ska då ytterst ha till syfte att utreda eller lagföra ett visst brott. Undantag finns dock. I vissa fall får hemliga tvångsmedel användas utan att det pågår förundersökning, då i syfte att förhindra särskilt allvarlig brottslighet.
I fråga om tvångsmedel gäller samma befogenheter och skyldigheter på det digitala området som i övriga fall. Med hänvisning bl.a. till att dessa verktyg i sin utformning inte är skapade för eller anpassade för den digitala miljön, föreslog NISU 2014 i sitt betänkande Informations- och cybersäkerhet i Sverige. Strategi och åtgärder
68
Ds 2016:22 | Samhällets informationssäkerhet |
för säker information i staten (SOU 2015:23), en översyn av bl.a. bestämmelserna i 27 kap. rättegångsbalken. Regeringen har i maj 2016 beslutat att en särskild utredare ska undersöka om bestämmelser om hemlig dataavläsning bör införas i svensk rätt för att säkerställa att de brottsbekämpande myndigheterna kan upprätthålla sin förmåga att bekämpa brott.
När förundersökningen avslutas, ska beslut meddelas, huruvida åtal ska väckas (23 kap. 20 § rättegångsbalken).
Lagföring
Leder förundersökning om brott där allmänt åtal får ske fram till att åklagaren på objektiva grunder kan förutse en fällande dom är åklagaren som huvudregel skyldig att föra talan mot brottet vid domstol (20 kap. 6 § rättegångsbalken).
Åklagare får besluta att underlåta åtal för brott (åtalsunderlåtelse) under förutsättning att något väsentligt allmänt eller enskilt intresse ej åsidosätts om det kan antas att brottet inte skulle föranleda annan påföljd än böter, om det kan antas att påföljden skulle bli villkorlig dom och det finns särskilda skäl för åtalsunderlåtelse, om den misstänkte begått annat brott och det utöver påföljden för detta brott inte krävs påföljd med anledning av det föreliggande brottet, eller om psykiatrisk vård eller insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade kommer till stånd. Åtal får underlåtas även i andra fall, om det av särskilda skäl är uppenbart att det inte krävs någon påföljd för att avhålla den misstänkte från vidare brottslighet och att det med hänsyn till omständigheterna inte heller krävs av andra skäl att åtal väcks. (20 kap. 7 § rättegångsbalken)
Åtal väcks genom att åklagaren hos rätten skriftligen ansöker om stämning mot den som ska tilltalas. Stämningsansökan ska avvisas, om rätten finner uppenbart, att den som väcker åtalet inte har rätt att föra talan angående brottet eller att målet på grund av annat rättegångshinder inte kan tas upp till prövning. Avvisas inte ansökan, ska rätten utfärda stämning på den tilltalade att svara på åtalet. Som huvudregel gäller att ett mål ska avgöras efter huvudförhandling. (45 kap. 1,
69
5 Ordningen i några andra länder
I utredarens uppdrag ligger att undersöka vilken ordning för informationsdelning mellan motsvarande myndigheter som förekommer i några andra, med Sverige jämförbara, länder samt om det i dessa länder finns andra sätt för polisen att få information om itbrottslighet.
Utredningen har med hjälp av Myndigheten för samhällsskydd och beredskap (MSB) inhämtat information om
5.1Tyskland
I juli 2015 trädde en ny
Operatörer av kritisk infrastruktur inom sektorerna energi, informationsteknik och telekommunikation, transport, hälsa, vatten, näring och finans och försäkring måste uppfylla en minimistandard för
71
Ordningen i några andra länder | Ds 2016:22 |
inträda krävs att incidenten är allvarlig, t.ex. att en verksamhet är utsatt för kraftiga störningar. Att hanteringen av en incident kräver stora resurser kan vara en indikator på att incidenten är allvarlig. Även incidenter som skulle kunna få allvarliga konsekvenser ska rapporteras. Incidenter som inte under några omständigheter kan påverka kritisk verksamhet behöver inte rapporteras.
Om den rapporterande aktören redan har hanterat incidenten kommer incidenten endast att ingå i BSI:s lägesbild. I andra fall påbörjar BSI omedelbart en analys. Analysen kan i vissa fall leda till att det utfärdas en varning till en berörd målgrupp, t.ex. statliga myndigheter, tillhandahållare av kritisk infrastruktur, den privata sektorn, osv.
BSI har bilaterala relationer till andra säkerhetsmyndigheter. I vissa fall ska BSI vidarebefordra uppgifter till andra myndigheter, t.ex. departement och tillsynsmyndigheter, i andra fall lämnar dessa uppgifter till BSI.
Om det finns starka bevis för att en incident har koppling till terrorism eller för att incidenten innebär en fara för rikets säkerhet eller har koppling till spionage, måste BSI vidarebefordra uppgiften till den federala kriminalpolisen, Bundeskriminalamt (BKA) respektive underrättelsetjänsten (Bundesamt für Verfassungsschutz [BfV]). Om namnet på den rapporterande aktören måste lämnas ut ska denne underrättas om det. Obegränsad informationsdelning med tredje myndighet kräver godkännande från den rapporterande aktören.
När det gäller incidenter som har sin grund i annan brottslighet än sådan som har koppling till terrorism, rikets säkerhet eller spionage, kan BSI vidarebefordra uppgifter till andra myndigheter när den rapporterande aktören har gjort en polisanmälan och indikerat i rapporten att uppgifterna kan vidarebefordras till BKA. BSI kontaktar alltså inte de brottsbekämpande myndigheterna beträffande sådan brottslighet, utan den drabbade måste göra en formell anmälan. BSI rekommenderar starkt den drabbade att göra en polisanmälan. På BSI:s hemsida finns också en länk till en broschyr från BKA.
Utöver skyldigheten för ovan nämnda operatörer av kritisk infrastruktur att rapportera vissa
72
Ds 2016:22 | Ordningen i några andra länder |
av datavirus eller trojanska hästar). Övriga aktörer har möjlighet att rapportera
5.2Nederländerna
I Nederländerna är det i dagsläget frivilligt att rapportera
Skyldigheten att rapportera kommer enligt förslaget att uppstå när incidenten innebär eller kan innebära att tillgången till en produkt eller tjänst riskerar eller kommer att bli utsatt för kraftiga störningar. Enligt förslaget ska rapporteringsskyldigheten vara begränsad till sådana incidenter som innebär ett allvarligt hot mot det nederländska samhället. Det förväntas därför inte att väldigt många rapporter kommer att ske. Rapporteringsskyldigheten är kopplad till ett faktiskt säkerhetsintrång (security breach) eller en faktisk integritetsförlust i ett elektroniskt informationssystem (loss of integrity of an electronic information system). Incidenter som beror på ett internt misstag av en anställd kommer som huvudregel inte att vara rapporteringspliktiga. Rapporteringsplikt kan dock komma att uppstå om misstaget innebär att någon person utanför den drabbade aktören får tillgång till systemet.
Förslaget innebär inte någon skyldighet att rapportera avbrott som beror på
73
Ordningen i några andra länder | Ds 2016:22 |
NCSC är del av ett
Enligt lagförslaget ska NCSC vidarebefordra information från rapporterna till aktörer som har i uppgift att informera allmänheten eller andra relevanta aktörer, till CERT:ar och till tillhandahållare av internetkommunikation. Det kommer inte heller fortsättningsvis att finns någon skyldighet för NCSC att informera polisen om en incident. Det ansvaret kommer den rapporterande aktören att ha, även om NSCS i de flesta fall uppmanar denne att göra en polisanmälan. Syftet med detta är att bibehålla förtroende från de rapporterande aktörerna gentemot NCSC och att undvika möjliga, för rapporeringsbenägenheten, avskräckande faktorer.
5.3Norge
I Norge är verksamheter som lyder under ”lov om forebyggende sikkerhetstjeneste” (sikkerhetsloven) skyldiga att till Nasjonal sikkerhetsmyndighet (NSM) rapportera händelser som hotar säkerheten, t.ex. spionage, sabotage och terrorhandlingar samt förberedelse och försök till dessa brott, liksom händelser kopplade till hemlig information. Vid NSM finns den norska
Rapportering av
NSM NorCERT detekterar också själv händelser genom Varslingssystem for digital infrastruktur (VDI). VDI är ett sensorsystem som är utplacerat hos vissa offentliga och privata tillhandahållare av kritisk infrastruktur. VDI gör det möjligt att tidigt upptäcka och varna om allvarliga
74
Ds 2016:22 | Ordningen i några andra länder |
frivillighet och parteras rättigheter och skyldigheter i samarbetet regleras genom avtal.
Vid allvarliga händelser ska NSM
Det krävs som huvudregel samtycke från den drabbade aktören för att delning av information om konkreta inrapporterade incidenter eller händelser som detekterats med hjälp av
Delning av inrapporterad information med andra aktörer, t.ex. polisen, förutsätter normalt samtycke från den rapporterande aktören. Tillåtelse till informationsdelning kan lämnas genom användning av Trafikklysprotokollen (TLP), eller genom samtycke inhämtat av NSM NorCERT i det enskilda fallet. Om informationsdelning kan ske i anonymiserad form eller inte kan knytas till en viss verksamhet kan informationsdelning dock ske utan samtycke.
75
6Utredningens principiella utgångspunkter
Den grundläggande utgångspunkten för utredningens uppdrag är att det är angeläget att brottsliga gärningar som utgör ett hot mot informationssäkerheten utreds och att de individer som ansvarar för sådana handlingar lagförs.
I kontakter med Polismyndigheten och Åklagarmyndigheten har företrädare för myndigheterna framfört att de bedömer att denna typ av brottslighet i begränsad utsträckning anmäls till polis och åklagare. Den låga anmälningsbenägenheten kan ha flera orsaker. Brott som dataintrång och andra brott som utgör ett hot mot informationssäkerheten är typiskt sett svårutredda, och möjligheterna att framgångsrikt föra brottsutredningen till åtal och fällande dom är ofta små. Den som drabbas av ett brott kan ha begränsad kunskap om hur de brottsutredande myndigheterna arbetar, och vilka möjligheter de har att skydda känsliga uppgifter som behandlas inom ramen för brottsutredningen. Det går heller inte att bortse från risken att den som drabbats av ett
Framgång i den brottsutredande verksamheten är i hög utsträckning beroende av att polis och åklagare får information om att brott har begåtts och att den som drabbats av brott medverkar i utredningen. Polismyndigheten har genom bildandet av det nationella itbrottscentret skapat förutsättningar för att utveckla sin verksamhet och för ökad enhetlighet i verksamheten. Genom att verksamheten hålls samman i en och samma organisatoriska enhet utgör
77
Utredningens principiella utgångspunkter | Ds 2016:22 |
för utländska rättsvårdande myndigheter och andra aktörer. Utredningen bedömer att den nya organisationen härmed också skapar förutsättningar för att i förhållande till statliga myndigheter och andra viktiga aktörer arbeta förtroendeskapande, och därmed bidra till att benägenheten att anmäla
Utredningen har inte funnit anledning att inom ramen för uppdraget lämna förslag till hur Polismyndigheten genom egna åtgärder kan utveckla verksamheten i syfte att öka anmälningsbenägenheten. I fokus för utredningens arbete står i stället frågan i vilken mån den nya ordningen med obligatorisk incidentrapportering till Myndigheten för samhällsskydd och beredskap (MSB) kan bidra till att öka Polismyndighetens tillgång till information om
Polismyndighetens uppgift är bl.a. att utreda brott som hör under allmänt åtal och att förebygga och ingripa mot brott. Verksamheten är beroende av att underrättelser och uppgifter om misstänkta brott lämnas till polisen. Ofta lämnas sådana uppgifter av den som drabbats av brottet, men uppgifterna kan också komma till polisen från exempelvis den som bevittnat ett brott eller från den som av annan anledning fått anledning att misstänka att ett brott har begåtts.
Myndigheter och andra organ kan i många fall komma att hantera uppgifter som ger dem anledning att misstänka att ett brott har begåtts. Endast i en begränsad omfattning har lagstiftaren valt att i lag eller annan författning slå fast en skyldighet för myndigheter eller andra att lämna uppgifter om misstänkta eller pågående brott till de brottsutredande myndigheterna. Nedan beskrivs några exempel på sådana författningar.
På informationssäkerhetsområdet har i 10 § säkerhetsskyddsförordningen (1996:633) stadgats en skyldighet för myndigheter med flera att om en hemlig uppgift kan ha röjts skyndsamt anmäla det till Säkerhetspolisen, om röjandet kan antas medföra men för rikets säkerhet som inte endast är ringa. Skälet till bestämmelsen är dels att kunna utreda det eventuella straffrättsliga ansvaret för röjande, dels att kunna vidta åtgärder för att minska skadan i det enskilda fallet och om möjligt minska risken för framtida röjande.
Den 15 augusti 2016 träder en ny lag om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet i kraft. Lagen syftar
78
Ds 2016:22 | Utredningens principiella utgångspunkter |
bl.a. till att underlätta informationsutbyte mellan vissa myndigheter i kampen mot organiserad brottslighet.
När det gäller penningtvätt och finansiering av terrorism ska en verksamhetsutövare granska transaktioner för att kunna upptäcka sådana som den misstänker eller har skälig grund att misstänka utgör ett led i penningtvätt eller finansiering av terrorism. Om misstanke efter närmare analys kvarstår, ska uppgifter om alla omständigheter som kan tyda på penningtvätt eller finansiering av terrorism utan dröjsmål lämnas till Polismyndigheten. När sådana uppgifter har lämnats, ska även vissa andra fysiska eller juridiska personer lämna de uppgifter för utredningen om penningtvätt eller finansiering av terrorism som myndigheten begär. På begäran av Polismyndigheten ska vidare verksamhetsutövaren eller den som yrkesmässigt driver lotteri- och spelverksamhet utan dröjsmål lämna alla uppgifter som behövs för en utredning om penningtvätt eller finansiering av terrorism. (3 kap. 1 § lagen [2009:62] om penningtvätt) Uppgiftsskyldigheten infördes i svensk rätt första gången i den numera upphävda lagen (1993:768) om åtgärder mot penningtvätt, till uppfyllande av Sveriges förpliktelser enligt avtalet om Europeiska ekonomiska samarbetsområdet (EES).
Bestämmelser om revisors anmälningsskyldighet finns i aktiebolagslagen (2005:551). Om en revisor finner att t.ex. en styrelseledamot eller den verkställande direktören gjort sig skyldig till vissa brott ska revisorn vidta vissa åtgärder. Revisorn ska bl.a. under vissa förutsättningar anmäla misstänkt brottslighet till åklagare. (9 kap.
Även vissa tillsynsmyndigheter är skyldiga att anmäla eller verka för att brott beivras i vissa fall. Offentlig kontroll av efterlevnaden av djurskyddslagen (1988:534) m.m. utövas av bl.a. länsstyrelserna. I sin egenskap av kontrollmyndighet ska länsstyrelserna verka för att överträdelser av djurskyddslagen beivras (24 och 24 b §§ djurskyddslagen). Detta innebär att misstänkta överträdelser av lagen ska anmälas till åklagare eller polis (se JO 2014/15 s. 525). I samband med att bestämmelsen infördes hänvisades till den likalydande bestämmelsen i livsmedelslagen (2006:804). Enligt 13 § den lagen ska den myndighet som utövar offentlig kontroll verka för att överträdelser av lagen, av de föreskrifter eller beslut som har meddelats med stöd av lagen eller av de
79
Utredningens principiella utgångspunkter | Ds 2016:22 |
får vara en undantagsföreteelse att lagföring sker när det gäller överträdelse av livsmedelslagens bestämmelser, utan att det istället ska vara regel. Bestämmelsen i livsmedelslagen infördes i sin tur efter mönster i miljöskyddslagen.
Enligt miljöbalken (1998:808) gäller att tillsynsmyndigheten, som ett led i tillsynen, ska anmäla överträdelser av bestämmelser i balken eller i föreskrifter som har meddelats med stöd av balken till polis- eller åklagarmyndigheten, om det finns misstanke om brott. Tillsynsmyndigheten ska inte själv göra någon bedömning av om överträdelsen kan föranleda fällande dom eller om det är ett ringa brott utan anmäla de faktiska förhållandena så snart en straffbar överträdelse kan konstateras.
Finansinspektionen övervakar att lagen (2005:377) om straff för marknadsmissbruk vid handel med finansiella instrument följs. När det finns anledning att anta att brott enligt lagen har begåtts, ska Finansinspektionen enligt 19 § anmäla detta till åklagare.
Värdepappersinstitut och börser enligt lagen (2007:528) om värdepappersmarknaden och sådana utländska företag som har tillstånd enligt samma lag att driva en reglerad marknad från filial i Sverige samt kreditinstitut enligt lagen (2004:297) om bank- och finansieringsrörelse ska snarast rapportera till Finansinspektionen, om det kan antas att en transaktion utgör eller har samband med insiderbrott eller otillbörlig marknadspåverkan. Inspektionen ska snarast överlämna uppgifterna till åklagare. (10 § lagen [2005:377] om straff för marknadsmissbruk vid handel med finansiella instrument)
I 23 kap. 6 § brottsbalken finns en skyldighet för envar att anmäla eller avslöja vissa brott som håller på att ske. Som exempel kan anges att underlåtenhet att anmäla eller avslöja sabotage, grovt sabotage, spioneri, grovt spioneri och grov obehörig befattning med hemlig uppgift är straffbelagt. En förutsättning för att skyldigheten ska uppstå är att anmälan eller avslöjandet kan ske utan fara för den som skyldigheten åligger eller någon av dennes närmaste. En annan förutsättning är att gärningen i fråga fortskridit så långt att straff kan följa på den. Den åtgärd som i första hand bör komma i fråga är att anmäla brottet för polisen. Avslöjande på annat sätt, såsom genom meddelande till den som hotas av brottet, är emellertid tillräckligt för straffrihet.
80
Ds 2016:22 | Utredningens principiella utgångspunkter |
Det finns även bestämmelser om skyldigheter i vissa fall att lämna uppgifter om brott till icke brottsbekämpande myndigheter. Vissa myndigheter och yrkesverksamma är skyldiga att genast anmäla till socialnämnden om de i sin verksamhet får kännedom om eller misstänker att ett barn far illa. De anmälningspliktiga aktörerna är myndigheter vars verksamhet berör barn och unga, andra myndigheter inom hälso- och sjukvården, annan rättspsykiatrisk undersökningsverksamhet, socialtjänsten, Kriminalvården, Polismyndigheten och Säkerhetspolisen, anställda hos dessa myndigheter samt de som är verksamma inom yrkesmässigt bedriven enskild verksamhet och fullgör uppgifter som berör barn och unga eller inom annan sådan verksamhet inom hälso- och sjukvården eller på socialtjänstens område. (14 kap. 1 § socialtjänstlagen [2001:453]).
Socialtjänstens möjlighet att lämna uppgifter om misstänkta brott vidare till de brottsutredande myndigheterna regleras av socialtjänstsekretessen i 26 kap. 1, 3, 4 och 6 §§ offentlighets- och sekretesslagen (2009:400), OSL. Denna sekretess hindrar inte att en uppgift lämnas till åklagarmyndighet eller Polismyndigheten, om uppgiften angår misstanke om brott som riktas mot någon som inte fyllt arton år och det är fråga om brott mot liv och hälsa (3 kap. brottsbalken), brott mot frihet och frid (4 kap. brottsbalken) eller sexualbrott (6 kap. brottsbalken) eller brott som avses i lagen med förbud mot könsstympning av kvinnor (10 kap. 21 § OSL).
Frånvaron av en skyldighet för myndighet eller annan att lämna uppgift till de brottsutredande myndigheterna utgör inget hinder att lämna uppgiften. För statliga myndigheter är utgångspunkten att myndigheter har en långtgående skyldighet att samarbeta och bistå varandra i den utsträckning som kan ske, en princip som bl.a. kommer till utryck i 6 § förvaltningslagen (1986:223). Principen omfattar också frågor om samarbete och informationsutbyte med brottsbekämpande myndigheter, ett förhållande som återspeglas i bestämmelsen i 6 § polislagen (1984:387) om att myndigheter ska ge polisen stöd i dess arbete. Det är i många fall en naturlig utgångspunkt att myndigheter och tjänstemän som i sin tjänsteutövning får anledning att misstänka att ett brott har begåtts får vidta åtgärder för att brottet ska kunna utredas.
I samband med tillkomsten av den bestämmelse som reglerar förutsättningarna för myndigheter att utan hinder av sekretess lämna information om misstänkta brott till brottsutredande myn-
81
Utredningens principiella utgångspunkter | Ds 2016:22 |
digheter (om nuvarande bestämmelse i 10 kap. 24 § OSL se avsnitt 7.2.1 nedan) uttalas i förarbetena följande (prop. 1983/84:142 s. 19 och 21).
För att ett rättssamhälle skall fungera på ett tillfredsställande sätt fordras att samhället ingriper mot brott. Uppgiften att bekämpa brottsligheten ligger i första hand på polisen och åklagarna.
– – –
Brottsbekämpningen bygger […] inte enbart på polisens övervakande och brottsspanande verksamhet. En solidarisk medverkan från allmänheten utgör en förutsättning för att brottsligheten skall kunna bekämpas effektivt. Även insatser från andra myndigheter är betydelsefulla. Andra myndigheter har i många fall en rätt och ibland t.o.m. en skyldighet att lämna ut uppgifter om brott till polis eller åklagare. Detta gäller inte sällan även om uppgifterna i övrigt är skyddade av sekretess.
– – –
Myndigheterna kan delta i kampen mot brottsligheten på många olika sätt. En betydelsefull form av medverkan består i att lämna uppgifter om brott till de direkt brottsbekämpande myndigheterna.
Samhällsutvecklingen har på senare år tydligt gått i riktning mot att myndigheter fördjupat och utvecklat sin samverkan med de brottsbekämpande myndigheterna. En av de mest strukturerade formerna är den nationella satsningen mot den grova organiserade brottsligheten där Polismyndigheten, Säkerhetspolisen, Åklagarmyndigheten, Ekobrottsmyndigheten, Skatteverket, Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, Tullverket, Försäkringskassan och Migrationsverket deltar. Ett annat exempel på myndighetssamverkan är det lokala brottsförebyggande arbetet som polisen och kommunerna bedriver genom s.k. samverkansöverenskommelser. Ett viktigt led i alla former av samverkan är möjligheten att kunna utbyta information.
MSB:s verksamhet förutsätter en bred samverkan med myndigheter och andra aktörer. På informationssäkerhetsområdet uttalas i 11 a och b §§ förordningen (2008:1002) med instruktion för MSB särskilt att myndigheten ansvarar för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera
1.agera skyndsamt vid
82
Ds 2016:22 | Utredningens principiella utgångspunkter |
verka i det arbete som krävs för att avhjälpa eller lindra effekter av det inträffade,
2.återrapportera till berörda aktörer i samband med att en itincident har rapporterats,
3.samverka med myndigheter med särskilda uppgifter inom informationssäkerhetsområdet, och
4.vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder samt utveckla samarbetet och informationsutbytet med dessa.
Den obligatoriska
Även i den europeiska cybersäkerhetsstrategi som
Utredningens utgångspunkt är mot denna bakgrund att det är en viktig del av samhällets informationssäkerhetsarbete att myndigheter med uppgifter på området så långt möjligt samverkar och delar information och uppgifter med varandra. Detta gäller även samverkan mellan brottsbekämpande och icke brottsbekämpande myndigheter med ansvar på informationssäkerhetsområdet såsom Polismyndigheten och MSB.
Ett informationssamarbete kan dock förhindras eller försvåras till följd av bestämmelser om sekretess, eller andra rättsregler. Ut- redningen presenterar i nästa kapitel sin analys av de rättsliga förutsättningarna för MSB att lämna uppgifter om
83
7Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten
Utredningen analyserar i detta kapitel frågan om det föreligger några rättsliga hinder mot ett informationssamarbete mellan Myndigheten för samhällsskydd och beredskap (MSB) och Polismyndigheten. Särskilt prövas frågan om några hinder föreligger på grund av sekretess.
7.1Sekretess i MSB:s verksamhet
Många av de uppgifter som lämnas till MSB inom ramen för såväl frivillig som obligatorisk incidentrapportering omfattas av sekretess. Till varje sekretessgrund hör ett s.k. skaderekvisit. Är rekvisitet i det enskilda fallet uppfyllt innebär sekretessen ett förbud att röja uppgiften, oavsett om det sker genom utlämnande av en handling eller genom att uppgiften lämnas muntligt eller på något annat sätt. Sekretess gäller såväl mot enskilda som mot andra myndigheter. Sekretess kan även gälla mellan olika verksamhetsgrenar inom en myndighet.
7.1.118 kap. 8 § 3 och 4 OSL
I 18 kap. 8 § offentlighets- och sekretesslagen (2009:400), OSL, finns bestämmelser om sekretess för olika brottsförebyggande åtgärder som i huvudsak hänför sig till annan verksamhet än polisens. Vissa av åtgärderna syftar endast mera indirekt till att förebygga brott. De åtgärder som aktualiseras i samband med
85
Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten | Ds 2016:22 |
tillämpliga både hos den myndighet som upprättar och skickar in en
Sekretess gäller enligt 18 kap. 8 § OSL för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information, (tredje punkten) eller behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling (fjärde punkten).
Som exempel på säkerhets- eller bevakningsåtgärder nämns i förarbetena funktioner för användning av lösenord, loggning och kryptering, installation av brandväggar och antivirusprogram samt administrativa rutiner för t.ex. utdelning av lösenord eller bevakning av loggar och larm. Både uppgifter som direkt lämnar upplysningar om säkerhets- eller bevakningsåtgärder avseende sådana system och uppgifter som kan bidra till att lämna upplysningar om sådana åtgärder kan hemlighållas om det kan antas att syftet med de vidtagna åtgärderna motverkas om uppgifterna röjs. Som exempel på uppgifter som kan bidra till att lämna upplysningar om säkerhets- eller bevakningsåtgärder avseende t.ex. ett operativsystem nämns i förarbetena uppgift om vilken typ och version av operativsystem som använts. Sådana uppgifter kan hemlighållas om t.ex. en viss version av ett operativsystem har visat sig ha svagheter som gör att det är lätt att olovligen ta sig in i systemet trots de vidtagna skyddsmekanismerna. En uppgift om vilket operativsystem som används skulle i ett sådant fall indirekt innebära en anvisning för den datatekniskt kunnige om hur man kringgår de vidtagna skyddsåtgärderna. Beskrivningar av hur ett program fungerar i stora drag och vilka typer av uppgifter som bearbetas i ett program bör dock alltid kunna lämnas utan att det kan antas att vidtagna säkerhetsåtgärder motverkas.
Den för
86
Ds 2016:22 | Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten |
svagheter i systemet har upptäckts och en
Bestämmelsen i tredje punkten tillkom mot bakgrund av att Post- och Telestyrelsen (PTS) tilldelades uppdraget att inrätta en rikscentral för
Sekretessen under fjärde punkten, avseende uppgift om åtgärd som avser behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, gäller i första hand uppgifter om behörighetskoder och behörighetsnycklar samt arrangemang och fördelning av dessa, däremot inte generellt program för hemliga upptagningar. Bestämmelsen gäller inte bara behörighet avseende upptagningar som utgör hemliga, allmänna handlingar i tryckfrihetsförordningens mening, utan gäller behörighet avseende alla typer av handlingar.
7.1.218 kap. 9 § OSL
Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med metoden motverkas om uppgiften röjs och metoden har till syfte att antingen underlätta befordran eller användning i allmän verksamhet av uppgifter utan att föreskriven sekretess åsidosätts, eller göra det möjligt att kontrollera om data i elektronisk form har förvanskats (18 kap. 9 § OSL). Sekretessen gäller oberoende av hos vilken myndighet uppgifterna finns. Inom ramen för
87
Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten | Ds 2016:22 |
rapporteringen kan uppgifter om chiffer, kod eller liknande metoder som används av informationssäkerhetsskäl komma att hanteras i samband med en teknisk analys av en incident.
7.1.318 kap. 13 § OSL
Sekretess gäller för uppgift som hänför sig till en myndighets verksamhet som består i risk- och sårbarhetsanalyser avseende fredstida krissituationer, planering och förberedelser inför sådana situationer eller hantering av sådana situationer, om det kan antas att det allmännas möjligheter att förebygga och hantera fredstida kriser motverkas om uppgiften röjs (18 kap. 13 § OSL). Med begreppet fredstida krissituationer avses mycket allvarliga kriser, alltså inte olyckor och andra händelser av mer vardaglig karaktär. Verksamhet i form av risk- och sårbarhetsanalyser syftar till att minska samhällets sårbarhet, bl.a. genom att öka myndigheternas förmåga att förutse och hantera fredstida krissituationer. För att uppgifter i denna verksamhet inte ska kunna utnyttjas till angrepp mot myndigheter, enskilda eller samhället i stort är det i viss utsträckning nödvändigt att begränsa insynen i denna verksamhet. Eftersom sekretessen gäller för uppgifter som hänför sig till verksamhet för risk- och sårbarhetsanalyser, följer sekretessen med en uppgift som lämnas till en annan myndighet. När det gäller
7.1.421 kap. 7 § OSL
Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204), PUL (21 kap. 7 § OSL). Bestämmelsen innehåller ett förbud mot att lämna ut personuppgifter och är tillämplig hos sådana myndigheter som är personuppgiftsansvariga eller som annars har tillgång till personuppgifter. Med personuppgifter avses, liksom i PUL, all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Bedömningen ska inte ta sikte på om myndighetens utlämnande av uppgifter skulle strida mot PUL. Enligt 8 § PUL ska bestäm-
88
Ds 2016:22 | Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten |
melserna i den lagen inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Bedömningen enligt 21 kap. 7 § OSL ska alltså avse om det kan antas att uppgifterna efter utlämnandet kommer att behandlas i strid med personuppgiftslagen.
7.1.5Andra sekretessbestämmelser som kan aktualiseras
I 15 kap. 1 och 2 §§ OSL regleras utrikes- och försvarssekretessen. Där finns regler om sekretess till skydd för Sveriges säkerhet och Sveriges förhållande till andra stater eller mellanfolkliga organisationer. Utrikessekretessen gäller uppgift som rör Sveriges förbindelser med en annan stat eller i övrigt rör annan stat, mellanfolklig organisation, myndighet, medborgare eller juridisk person i annan stat eller statslös, om det kan antas att det stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs. Försvarssekretessen gäller uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Förekommer sådana uppgifter, t.ex. uppgifter om funktionssätt och säkerhet i system som har betydelse för samhällets försörjning eller infrastruktur, omfattas de av dessa sekretessbestämmelser. Bestämmelserna gäller oberoende av hos vilken myndighet uppgifterna finns.
När MSB arbetar med incidentrapportering från enskilda, som lämnar incidentrapporter frivilligt, kan bestämmelser till förmån för intresset att skydda enskild i verksamhet som avser tillsyn m.m. aktualiseras. Enligt 30 kap. 23 § OSL gäller sekretess för uppgift om en enskilds affärs- eller driftförhållanden, uppfinningar eller forskningsresultat, om det kan antas att den enskilde lider skada om uppgiften röjs (första punkten), och för uppgift om andra ekonomiska eller personliga förhållanden än som avses i första punkten för den som har trätt i affärsförbindelse eller liknande förbindelse med den som är föremål för myndighetens verksamhet (andra punkten). Sekretessen gäller oberoende av hos vilken myndighet uppgifterna finns. Den typ av uppgifter som det i första han handlar om att hemlighålla är sådana som typiskt sett kan vara av intresse för
89
Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten | Ds 2016:22 |
konkurrenter och som skulle skada verksamheten om de blev kända.
Även andra sekretessbestämmelser kan bli aktuella i MSB:s verksamhet kring
7.2Sekretessbrytande bestämmelser
Sekretess gäller i förhållande till enskilda, men också mellan myndigheter. Syftet är i första hand att värna om den enskildes integritet. Om sekretess inte skulle gälla mellan myndigheter skulle uppgifter hos en myndighet kunna läggas till grund för åtgärder av en annan myndighet som skulle kunna vara till nackdel för den enskilde. Även den omständigheten att ett större antal tjänstemän kan få kunskap om ett känsligt förhållande kan vara skäl att upprätthålla sekretess mellan myndigheter.
En grundläggande princip är dock att myndigheter är skyldiga att samarbeta och bistå varandra i den utsträckning som kan ske, en princip som bl.a. kommer till uttryck i 6 § förvaltningslagen (1986:223). En precisering av den bestämmelsen finns i 6 kap. 5 § OSL, som innebär att en myndighet på begäran ska lämna uppgift som den förfogar över om inte uppgiften är sekretessbelagd, eller det skulle hindra arbetets behöriga gång.
I många fall måste myndigheter kunna utbyta information för att kunna utföra sina uppgifter. För att tillgodose myndigheters behov av information och informationsutbyte i sin verksamhet finns flera undantag från huvudregeln om sekretess mellan myndigheter. Sådana sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess finns i 10 kap. OSL. Sekretessbrytande bestämmelser finns även i andra författningar som OSL hänvisar till, eller som en uppgiftsskyldighet varvid 10 kap. 28 § OSL blir tillämplig. Nedan följer en redogörelse för de huvudsakliga sekretessbrytande bestämmelser i OSL som är av intresse när det gäller MSB:s förutsättningar att lämna ut uppgifter om rapporterade
90
Ds 2016:22 | Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten |
7.2.110 kap. 24 § OSL
Bestämmelsen i 10 kap. 24 § OSL gör det möjligt för myndigheter att under vissa förutsättningar lämna uppgifter om misstankar om ett begånget brott till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet. En förutsättning för utlämnande är att fängelse ingår i straffskalan för brottet. En annan förutsättning är att brottet i fråga kan antas föranleda någon annan påföljd än böter.
Bestämmelsen innebär en möjlighet att lämna ut uppgifter om brottsmisstankar under angivna förutsättningar. Det är alltså inte fråga om någon uppgiftsskyldighet. Uppgiftslämnandet förutsätter inte att misstanken är av viss grad, eller att bedömningen av handlingens straffvärde ska kunna göras med viss säkerhet, utan det är myndigheten som avgör om uppgiften har sådan karaktär att den kan lämnas.
Den obligatoriska
Utredningen gör bedömningen att flertalet rapporterade incidenter som kan antas ha sin grund i ett brottsligt angrepp, och de ur ett polisiärt perspektiv mest angelägna incidenterna, är sådana att MSB kan lämna uppgifter om incidenten till Polismyndigheten med stöd av den sekretessbrytande bestämmelsen i 10 kap. 24 § OSL.
7.2.210 kap. 27 § OSL – generalklausulen
För det fall att en
91
Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten | Ds 2016:22 |
läggas till grund för ett uppgiftslämnande. I dessa fall kan dock andra sekretessbrytande bestämmelser aktualiseras.
Enligt den s.k. generalklausulen i 10 kap. 27 § OSL får en sekretessbelagd uppgift lämnas till en annan myndighet om det är uppenbart att intresset av att lämna uppgiften har företräde framför det intresse som sekretessen har att skydda. Generalklausulen tillkom mot bakgrund av att sekretess inte bör hindra myndigheter från att utväxla uppgifter i situationer där intresset av att uppgifterna lämnas ut bör ha företräde framför intresset av att uppgifterna inte lämnas ut.
Generalklausulen kan inte tillämpas om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personsuppgiftslagen. Har det t.ex. i en lag föreskrivits att en viss myndighet för sin verksamhet på vissa villkor kan få ta del av även hemliga uppgifter hos en annan myndighet, kommer det givetvis inte på fråga att, när de angivna villkoren inte är uppfyllda, lämna ut uppgifterna med stöd av generalklausulen i stället. Om det i en lag eller förordning uttömmande anges i vilka fall uppgifter får lämnas mellan myndigheter kan generalklausulen inte heller tillämpas i andra fall.
Bestämmelsen är subsidiär i förhållande till andra sekretessbrytande bestämmelser och ska alltså inte tillämpas om någon annan sekretessbrytande bestämmelse kan tillämpas.
Med stöd av generalklausulen kan en myndighet lämna ut uppgifter om brottsmisstankar även utan någon uttrycklig begäran om det. Uppgifter kan lämnas ut inte bara beträffande begångna brott, utan även för att avvärja brott. Detta gäller oavsett vilken påföljd det misstänkta brottet kan antas föranleda. Om det hos en myndighet uppkommer misstankar om att ett brott har begåtts som inte kan antas föranleda annan påföljd än böter, kan myndigheten alltså ändå rapportera sina misstankar, om det är uppenbart att intresset av att uppgifterna lämnas ut har företräde framför det intresse som sekretessen ska skydda. Frågan om uppgifterna ska lämnas ut blir då beroende av en avvägning mellan dessa båda intressen. I praktiken torde det ofta finnas situationer där uppgifter kan lämnas ut därför att det finns ett intresse av att beivra även bötesbrottlighet samtidigt som sekretessintresset inte är särskilt framträdande.
92
Ds 2016:22 | Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten |
Möjligheten att utväxla hemliga uppgifter får utnyttjas mera sparsamt och med större försiktighet om informationen inte är sekretesskyddad hos den mottagande myndigheten. Detta gäller särskilt i fråga om uppgifter som är hemliga av hänsyn till enskildas intressen. Om den uppgift som överlämnandet gäller inte blir sekretesskyddad hos den mottagande myndigheten kan risken för att skada ska uppkomma vara så stor att uppgiften inte bör lämnas ut. Att sekretessen hos den mottagande myndigheten är något svagare än hos den utlämnande myndigheten har inte ansetts spela så stor roll i praktiken.
Vid prövningen av en utlämnandefråga enligt generalklausulen ska en avvägning göras mellan den mottagnade myndighetens behov av uppgifterna och det intresse som sekretesskyddet typiskt sett tillgodoser. Ytterligare omständigheter som är av betydelse är uppgifternas art och i vilket syfte de ska användas.
Generalklausulen hindrar inte att utbyte av uppgifter mellan myndigheter sker rutinmässigt även utan särskild författningsreglering, även om det i förarbetena uttalas att rutinmässigt uppgiftsutbyte i regel ska vara författningsreglerat. I de fall där ett rutinmässigt uppgiftslämnande inte är författningsreglerat men ändå kan anses tillräckligt motiverat måste den intresseavvägning som ska göras ske på förhand. Den behöver då inte avse prövning av individuella fall. Bedömningen kan då göras på ett sätt som liknar den som ska ske i fråga om massuttag. I situationen med massuttag kan emellertid den berörde tjänstemannen av naturliga skäl inte bilda sig en uppfattning om den särskilda skaderisk som kan vara förbunden med en enskild uppgift. Å andra sidan har tjänstemannen alltid kännedom om beställarens identitet och oftast också om beställarens avsikt med uppgifterna. Dessa kunskaper i förening med en bedömning av den skaderisk som typiskt sett är förbunden med uppgifter av det slag som avses med beställningen bör enligt förarbetsuttalanden i de allra flesta fall ge fullt tillräckligt underlag för bedömningen av om sekretessregleringen ska anses hindra ett utlämnande eller inte.
När det gäller förutsättningarna för ett informationsutbyte mellan MSB och Polismyndigheten är syftet med ett sådant att öka Polismyndighetens tillgång till information om
93
Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten | Ds 2016:22 |
ett intresse som vid tillämpning av generalklausulen typiskt sett får anses ha avsevärd vikt. När det i vart fall gäller statliga myndigheter som rapporterar
Sammanfattningsvis gör utredningen bedömningen att för det fall bestämmelsen i 10 kap. 24 § OSL inte kan läggas till grund för ett uppgiftslämnande från MSB till Polismyndigheten kan detta uppgiftslämnande i de allra flesta fall stödjas på generalklausulen. Inte heller om uppgiftslämnandet är omfattande och rutinmässigt hindrar sekretessen att uppgifter hos MSB lämnas till Polismyndigheten.
7.2.310 kap. 28 § OSL
Enligt 10 kap. 28 § OSL hindrar sekretess inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Genom införandet av rapporteringsskyldigheten i 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap har en sådan sekretessbrytande bestämmelse som avses i 10 kap. 28 § OSL införts. Myndigheterna kan alltså med stöd av förordningen överlämna de uppgifter som avses där till MSB, även om uppgifterna omfattas av sekretess hos myndigheterna.
Det kan diskuteras om bestämmelsen också kan vara tillämplig på ett uppgiftslämnade från MSB till Polismyndigheten och andra myndigheter. För att bestämmelsen ska vara tillämplig krävs att uppgiftsskyldigheten uppfyller vissa krav på konkretion, som att exempelvis avse en myndighets skyldighet att lämna andra myndigheter information. Med hänsyn till MSB:s uppdrag enligt sin instruktion att bl.a. agera skyndsamt vid inträffade
94
Ds 2016:22 | Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten |
anses föreligga att den sekretessbrytande bestämmelsen i 10 kap. 28 § OSL är tillämplig i dessa fall.
7.2.410 kap. 2 § OSL
Med hänsyn till det uppdrag som MSB har enligt sin instruktion är även bestämmelsen i 10 kap. 2 § OSL av intresse. Sekretess enligt denna bestämmelse hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen kan vara tillämplig i fall där någon av de övriga sekretessbrytande reglerna inte gäller, men ska tillämpas restriktivt. En uppgift får lämnas ut med stöd av bestämmelsen bara när utlämnandet av uppgiften är en nödvändig förutsättning för att myndigheten ska kunna fullgöra ett visst åliggande. Bara bedömningen att effektiviteten i myndighetens handlande sätts ned genom en föreskriven sekretess får inte leda till att sekretessen åsidosätts.
7.2.56 kap. 5§ OSL
Ett uppgiftslämnande från en myndighet kan ske på eget initiativ, men också som ett resultat av att annan myndighet begär att få ta del av viss uppgift. En myndighet ska på begäran lämna uppgift den förfogar över om inte uppgiften är sekretessbelagd, eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL). Är någon sekretessbrytande bestämmelse tillämplig, även generalklausulen 10 kap. 27 § OSL, ska uppgiften lämnas ut enligt denna bestämmelse. En myndighets beslut att inte lämna ut en uppgift kan överklagas.
7.3Personuppgiftslagen
De
95
Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten | Ds 2016:22 |
flödet av sådana uppgifter (dataskyddsdirektivet). Syftet med PUL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. PUL innehåller generella bestämmelser och gäller inte i den utsträckning det har meddelats avvikande bestämmelser i någon annan lag eller förordning (2 § PUL).
Personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Enligt den s.k. finalitetsprincipen får personuppgifter inte heller behandlas för något ändamål om är oförenligt med det för vilket uppgifterna samlades in. (9 § första stycket c och d PUL) Undantag från finalitetsprincipen får dock göras om det är nödvändigt av hänsyn till bl.a. förebyggande, undersökning och avslöjande av brott.
Offentlighets- och sekretesskommittén (OSEK) behandlade i sitt huvudbetänkande (SOU 2003:99) finalitetsprincipens förhållande till sekretessregleringen, bl.a. 15 kap. 5 § i dåvarande sekretesslagen (nuvarande 6 kap. 5 § OSL). Enligt denna bestämmelse ska en myndighet på begäran av en annan myndighet lämna en uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra ärendets behöriga gång. Bestämmelsen omfattar såväl uppgifter som inte är sekretessreglerade som uppgifter som kan lämnas ut med tillämpning av en sekretessbrytande bestämmelse. OSEK anförde att regering och riksdag redan vid personuppgiftslagens tillkomst tagit ställning för att bestämmelsen i 15 kap. 5 § sekretesslagen inte strider mot dataskyddsdirektivet. Enligt OSEK ska således ett utlämnande av uppgifter till en annan myndighet, som är tillåtet enligt sekretessregleringen, anses vara förenligt med finalitetsprincipen (SOU 2003:99 s. 231 och prop. 1997/98:44 s. 116). Kommittén tillade att finalitetsprincipen har utformats i en politisk miljö där majoriteten av medlemsstaterna inte har någon offentlighetsprincip och därmed inte heller någon sekretessreglering. Kommittén ansåg att den svenska sekretessregleringen, vilken även gäller mellan myndigheter, fyller samma syfte som finalitetsprincipen eftersom den hindrar myndigheterna från att lämna ut integritetskänsliga uppgifter till andra myndigheter för ändamål som av lagstiftaren bedömts vara oförenliga med de ändamål för vilka uppgifterna samlats in (a.a. s. 232).
Behandling av personuppgifter i form av utlämnanden av uppgifterna är alltså förenliga med finalitetsprincipen så länge som ut-
96
Ds 2016:22 | Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten |
lämnandena sker i överensstämmelse med lag eller förordning enligt vilken uppgifterna får eller ska lämnas ut. Härmed avses i första hand utlämnanden till annan myndighet enligt 6 kap. 5 § OSL och utlämnanden av sekretessreglerade uppgifter till en annan myndighet eller enskild, på begäran eller på eget initiativ, som sker med stöd av någon sekretessbrytande bestämmelse. Genom att reglera ett uppgiftslämnande får lagstiftaren anses ha tagit ställning till att sådana utlämnanden som ska eller får ske inte är oförenliga med ursprungliga ändamål. Myndigheterna är alltså bundna av den prövning enligt finalitetsprincipen som lagstiftaren gjort genom exempelvis en sekretessbrytande bestämmelse. (jfr Informationshanteringsutredningens slutbetänkande, Myndighetsdatalag, SOU 2015:39, s. 283 f.)
7.4Utredningens bedömning
Utredningen bedömer att varken bestämmelser om sekretess eller bestämmelser om behandling av personuppgifter utgör hinder mot ett omfattande informationssamarbete rörande antagonistiska itincidenter mellan MSB och Polismyndigheten.
De uppgifter som myndigheterna lämnar till MSB inom ramen för incidentrapporteringen omfattas normalt av sekretess. Sekretess gäller som huvudregel även mellan myndigheter. För att tillgodose myndigheters behov av information och informationsutbyte i sin verksamhet finns sekretessbrytande bestämmelser. Utredningens bedömning är att MSB utan hinder av sekretess kan lämna uppgifter om
Eftersom uppgifterna kan lämnas ut med stöd av bestämmelser i OSL strider ett utlämnande inte heller mot finalitetsprincipen i PUL.
Det ska i sammanhanget också framhållas att MSB i sin roll att stödja och samordna arbetet med samhällets informationssäkerhet
97
Rättsliga hinder mot ett informationssamarbete mellan MSB och Polismyndigheten | Ds 2016:22 |
också kan ha behov av att lämna uppgifter med anknytning till itincidentrapporteringen till andra myndigheter än Polismyndigheten, för att exempelvis avvärja ett hot mot
Sammanfattningsvis är det utredningens bedömning att bestämmelserna om sekretess normalt inte utgör ett hinder mot att MSB lämnar uppgifter om
Vid underhandskontakter med MSB och Polismyndigheten har företrädare för båda myndigheterna delat utredningens bedömning att ett omfattande informationssamarbete mellan myndigheterna inte hindras av bestämmelser om sekretess. Det har i dessa kontakter inte framkommit att man inom myndigheterna finner gällande bestämmelser svårtillämpade, och man är inom MSB organiserad på ett sådant sätt att frågor om utlämnande bedöms kunna hanteras på ett effektivt och rättssäkert sätt.
98
8Sekretessen hos brottsbekämpande myndigheter och hos domstol
En viktig del av samhällets informationssäkerhet är möjligheten att skydda känsliga uppgifter om bl.a. säkerhetssystem och sårbarheter. I kapitel 7 ovan har utredningen beskrivit de sekretessbestämmelser som är aktuella för uppgifter om
8.1Sekretessen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd gäller hos alla myndigheter
En grundläggande princip i offentlighets- och sekretesslagen (2009:400), OSL, är att sekretess som huvudregel inte följer med en uppgift när den lämnas till en annan myndighet. Sekretessintresset måste i varje sammanhang vägas mot intresset av insyn i myndighetens verksamhet. Om en sekretessreglerad uppgift lämnas från en myndighet till en annan gäller sekretess för uppgiften hos den mottagande myndigheten antingen om sekretess följer av en sekretessbestämmelse som är tillämplig hos den myndigheten, eller om sekretess följer av en bestämmelse om överföring av sekretess. Om ingen av dessa förutsättningar är uppfyllda blir uppgiften offentlig hos den mottagande myndigheten.
99
Sekretessen hos brottsbekämpande myndigheter och hos domstol | Ds 2016:22 |
Räckvidden av de sekretessbestämmelser som redovisats i kapitel 7 är inte begränsad till någon viss typ av verksamhet eller ärende eller till att gälla hos viss myndighet. Bestämmelserna är tillämpliga hos alla myndigheter där uppgifterna finns. Sekretessen gäller följaktligen för uppgifterna oavsett i vilket sammanhang de förekommer. De uppgifter från
Uttrycket myndighet i OSL syftar även på domstolarna. De sekretessbestämmelser som kan vara tillämpliga på uppgifter i itincidentrapporterna gäller därmed också hos domstolarna. Det finns emellertid bestämmelser som begränsar tillämpligheten av sekretessbestämmelser på uppgifter som läggs fram vid en domstolsförhandling eller som tas in i en dom eller ett beslut i ett mål eller ärende. Även parts rätt till insyn i förfarandet kan få betydelse för frågan om möjligheterna att bibehålla sekretess för uppgifterna.
8.2Förundersökningssekretess och sekretess till skydd för underrättelseverksamhet
Jämte sekretessen enligt 18 kap. 8 §, som gällt för uppgifterna hos MSB och som gäller hos alla myndigheter, kan uppgifterna hos polis och åklagare också omfattas av förundersökningssekretess. Sekretess gäller bl.a. för uppgift som hänför sig till förundersökning i brottmål, till angelägenhet som avser användning av tvångsmedel och i annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av Polismyndigheten eller Åklagarmyndigheten, om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs (18 kap. 1 § OSL). Med förundersökning menas förundersökning enligt rättegångsbalken (RB). Med annan verksamhet som syftar till att förebygga uppdaga,
100
Ds 2016:22 | Sekretessen hos brottsbekämpande myndigheter och hos domstol |
utreda eller beivra brott åsyftas brottsförebyggande och brottsbeivrande verksamhet i allmänhet utan anknytning till något konkret fall. Det kan gälla t.ex. arbetsrutiner, spaningsmetoder och uppgifter om namn på personer som biträder polisen vid spaningsarbete.
Sedan åtal har väckts gäller, på grund av skaderekvisitets utformning, sekretess enligt 18 kap. 1 § OSL bara för uppgifter som har generell betydelse för brottsspaning och brottsutredning. Efter åtal finns inte några utredningsåtgärder att skydda. De skyddsvärda uppgifterna från
Sekretess gäller vidare för uppgift som hänför sig till Polismyndighetens arbete med att förebygga, förhindra eller upptäcka brottslig verksamhet, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas (10 kap. 2 § OSL). Det polisarbete som åsyftas är i första hand underrättelseverksamhet, dvs. arbete med insamling, bearbetning och analys av information för att förhindra eller upptäcka brottslig verksamhet när det ännu inte finns konkreta misstankar om att ett visst brott har begåtts.
Förundersökningssekretess och sekretess till skydd för underrättelseverksamhet gäller även hos andra myndigheter. Sådan sekretess kan gälla också hos myndigheter som inte bedriver brottsbekämpande verksamhet. Sekretessen gäller nämligen för uppgift som hänför sig till förundersökning eller underrättelseverksamhet hos bl.a. Polismyndigheten och Åklagarmyndigheten. Det innebär att sekretessen följer med uppgiften när den lämnas vidare till en annan myndighet.
8.3Sekretess under och efter en huvudförhandling
En förhandling vid domstol ska vara offentlig (2 kap. 11 § andra stycket regeringsformen). Förhandlingsoffentligheten får dock begränsas genom lag (2 kap. 20 § första stycket 4 regeringsformen).
Som huvudregel upphör en sekretessbestämmelse som gäller för en uppgift i ett mål eller i ett ärende i en domstols rättskipande eller rättsvårdande verksamhet att vara tillämplig om uppgiften
101
Sekretessen hos brottsbekämpande myndigheter och hos domstol | Ds 2016:22 |
läggs fram vid en offentlig förhandling (43 kap. 5 § första stycket OSL). Huvudregeln gäller dock inte för uppgifter som lagts fram vid en förhandling inom stängda dörrar.
En domstol får hålla förhandling inom stängda dörrar, om det kan antas att det vid förhandlingen kommer att läggas fram uppgifter för vilka hos domstolen gäller sekretess enligt OSL (5 kap. 1 § andra stycket RB). För ett beslut om stängda dörrar krävs som huvudregel dessutom att det bedöms vara av synnerlig vikt att uppgiften hålls hemlig.
Om en uppgift för vilken det gäller sekretess läggs fram vid en förhandling inom stängda dörrar är sekretessbestämmelsen tilllämplig även under domstolens fortsatta handläggning av målet eller ärendet, om domstolen inte beslutar annat (43 kap. 5 § andra stycket OSL). När domstolen skiljer målet eller ärendet från sig måste sekretessfrågan slutligt prövas. Sekretessbestämmelsen fortsätter att vara tillämplig i den utsträckning som domstolen beslutar om det. Utan ett sådant särskilt beslut upphör alltså sekretessbestämmelsen att vara tillämplig även för sådana uppgifter som lagts fram vid en förhandling inom stängda dörrar.
Överklagas ett avgörande i vilket en domstol har beslutat att en sekretessbestämmelse som gäller för en viss uppgift ska vara tilllämplig även i fortsättningen, ska den högre domstolen pröva om beslutet ska fortsätta att gälla när den skiljer målet eller ärendet från sig (43 kap. 10 § OSL).
8.4Sekretess för uppgifter i domar och beslut
En sekretessbestämmelse som gäller för en uppgift i ett mål eller ärende upphör som huvudregel att vara tillämplig i målet eller ärendet om uppgiften tas in i en dom eller ett beslut (43 kap. 8 § första stycket OSL). Bestämmelsen om detta s.k. offentlighetsdop gäller i fråga om uppgifter som inte tidigare blivit offentliga genom att de lagts fram vid en offentlig förhandling.
Domstolen har dock möjlighet att besluta att en sekretessbestämmelse som gäller för en viss uppgift ska fortsätta att vara tillämplig på uppgiften när den ingår i en dom eller ett beslut (43 kap. 8 § andra stycket första meningen OSL). Denna prövning är fristående i förhållande till den prövning domstolen gör när den
102
Ds 2016:22 | Sekretessen hos brottsbekämpande myndigheter och hos domstol |
överväger om hela eller delar av en förhandling ska hållas inom stängda dörrar. Genom konstruktionen med ett offentlighetsdop och en möjlighet för domstolarna att besluta om fortsatt sekretess ges ett utrymme för domstolarna att i rimlig utsträckning ta hänsyn till såväl de intressen som talar för att domstolarnas domar och beslut i så stor utsträckning som möjligt ska vara offentliga, som de intressen som talar för att bevara sekretessen när det behövs med hänsyn till omständigheterna i det enskilda fallet.
Trots ett beslut om fortsatt sekretess är inte frågan om sekretess för en uppgift i domen eller beslutet avgjord en gång för alla. Sekretessfrågan ska prövas varje gång det blir aktuellt att lämna ut domen eller beslutet. Om en sådan prövning resulterar i att domstolen helt eller delvis vägrar lämna ut uppgiften eller lämnar ut den med förbehåll får beslutet normalt överklagas. Ett beslut om en sekretessbestämmelses fortsatta tillämplighet är alltså en förutsättning för att en viss sekretessbestämmelse ska få tillämpas. Ett sådant beslut medför dock inte att sekretess gäller med automatik.
Även om sekretessen för uppgifterna skulle upphöra i målet eller ärendet hos domstolen, kan sekretess för uppgifterna fortsätta att gälla hos andra myndigheter där uppgifterna finns.
Det kan också nämnas att vid domstolsförhandling under pågående förundersökning får rätten besluta om stängda dörrar med hänsyn till förundersökningssekretess, även om det inte bedöms vara av synnerlig vikt att uppgiften hålls hemlig.
8.5Allmänt om partsinsyn
Med begreppet partsinsyn avses en parts rätt att på olika sätt få insyn i det förfarande där han eller hon är part. Partsinsynen kan t.ex. innebära en rätt att få ta del av handlingar eller annat material som finns i ett mål eller ärende, s.k. aktinsyn. Partsinsynen syftar bl.a. till att tillgodose partens behov av insyn för att kunna föra sin talan och är alltså något annat än den rätt till insyn som enskilda har i allmänna handlingar enligt tryckfrihetsförordningen och i domstolsförhandlingar enligt regeringsformen. Den som är part i ett mål eller ärende hos domstol eller annan myndighet har mot den bakgrunden under vissa förutsättningar en mera långtgående rätt än andra att få ut hemliga handlingar och uppgifter. Som
103
Sekretessen hos brottsbekämpande myndigheter och hos domstol | Ds 2016:22 |
huvudregel hindrar sekretess inte att den som är part i ett mål eller ärende hos domstol eller annan myndighet och som på grund av sin partsställning har rätt till insyn i handläggningen, tar del av en handling eller annat material i målet eller ärendet. Rätt till insyn kan följa av föreskrifter i annan författning än OSL, praxis eller av allmänna rättsgrundsatser.
Insynsrätten kan sträcka sig olika långt beroende på vilket skede det rättsliga förfarandet befinner sig i. En misstänkt har t.ex. efter delgivning av misstanke enligt 23 kap. 18 § RB rätt att fortlöpande, i den mån det kan ske utan men för utredningen, ta del av det som har förekommit vid undersökningen. När förundersökningen är färdig, och den misstänkte slutdelges enligt samma bestämmelse, går det inte längre att hävda att ett röjande av uppgifter i förundersökningen är till men för utredningen. Det går då inte att med stöd av rättegångsbalkens bestämmelser undanhålla den misstänkte något material i förundersökningen, utan utredningsmaterialet omfattas av insynsrätten, även så kallat sidomaterial.
Rätten att ta del av de omständigheter som ligger till grund för ett beslut om anhållande eller häktning kan inte begränsas med hänsyn till utredningen(24 kap. 9 a § RB). Den som anhålls eller häktas har alltså en mer omfattande insynsrätt än en misstänkt som inte frihetsberövats.
Det är först i och med ett positivt åtalsbeslut som den misstänkte har rätt att få en kopia av förundersökningsprotokollet (23 kap. 21 § 4 RB). För det fall åklagaren beslutar att inte väcka åtal pågår inte längre något undersökningsförfarande, vilket innebär att den misstänktes insynsrätt enligt 23 kap. 18 § RB upphör. Det har då inte heller uppkommit någon rätt enligt rättegångsbalken för den misstänkte att få en kopia av förundersökningsprotokollet.
Även om insynsrätten upphört enligt rättegångsbalken kan det enligt praxis ändå föreligga insynsrätt efter det att ett ärende har avslutats. Utgångspunkten är då att den privilegierade ställningen som part bör bestå om den enskilde har beaktansvärda motiv för sin begäran om insyn.
I rättegångsbalken finns inte några uttryckliga bestämmelser vare sig om en tilltalads rätt till insyn i brottmålsprocessen eller om tilltalads rätt att få del av processmaterial eller annat aktmaterial i ett mål eller ärende vid domstol. En sådan rätt finns dock och kan
104
Ds 2016:22 | Sekretessen hos brottsbekämpande myndigheter och hos domstol |
härledas både från rättegångsbalken och från Europakonventionen. Insynsrätten följer av bl.a. principerna om muntlighet och omedelbarhet. Den tilltalades insynsrätt enligt 23 kap. 18 § RB upphör när brottmålsdomen vinner laga kraft.
8.6Partsinsyn och sekretess – kollisionsbestämmelsen
Att det finns en rätt enligt rättegångsbalken eller annars enligt allmänna rättsgrundsatser att ta del av utredningsmaterial utesluter inte att det kan finnas hinder mot att få ut uppgifter som omfattas av särskilda sekretessbestämmelser i OSL. De sekretessbestämmelser som utredningen redogjort för i avsnitt
Konflikten mellan parts rätt till insyn och den sekretess som kan gälla enligt bestämmelser i OSL regleras i den s.k. kollisionsbestämmelsen i 10 kap. 3 § OSL. Där anges att sekretess inte hindrar att en enskild som är part i ett mål eller ärende hos domstol eller annan myndighet och som på grund av sin partsställning har rätt till insyn i handläggningen, tar del av en handling eller annat material i målet eller ärendet. En sådan handling eller ett sådant material får dock inte lämnas ut till parten i den utsträckning det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att sekretessbelagd uppgift i materialet inte röjs. I sådana fall ska myndigheten på annat sätt lämna parten upplysning om vad materialet innehåller i den utsträckning det behövs för att parten ska kunna ta till vara sin rätt och det kan ske utan allvarlig skada för det intresse som sekretessen ska skydda. Sekretess hindrar aldrig att en part i ett mål eller ärende tar del av en dom eller ett beslut i målet eller ärendet. Inte heller innebär sekretess någon begränsning i en parts rätt enligt rättegångsbalken att få del av alla omständigheter som läggs till grund för avgörande i ett mål eller ärende. Om det i lag finns bestämmelser som avviker från det som nu nämnts, gäller de bestämmelserna.
Det är inte bara slutliga avgöranden i mål eller ärenden som omfattas av bestämmelsen. Även beslut under förundersökning och rättegång omfattas, t.ex. beslut om anhållande och häktning. Bestämmelsen ger inte i sig någon rätt till insyn i förfaranden enligt
105
Sekretessen hos brottsbekämpande myndigheter och hos domstol | Ds 2016:22 |
rättegångsbalken, utan rätten till insyn måste grunda sig på rättegångsbalken eller de principer som den vilar på.
Genom vägledande praxis anses det numera klarlagt att förundersökningsförfarandet är ett ärende där den misstänkte är part och har en insynsrätt enligt rättegångsbalken. 10 kap. 3 § OSL är alltså tillämplig på förundersökningsförfarandet. I och med att den misstänkte är att anse som part kan hans eller hennes insyn endast inskränkas med stöd av en sekretessbestämmelse om det är av synnerlig vikt att uppgiften inte röjs.
8.7Utredningens bedömning
Utredningen bedömer att bestämmelserna om sekretess i de brottsbekämpande myndigheternas verksamhet och bestämmelserna om förhandlingsoffentlighet och parts rätt till insyn i domstolsprocessen inte utgör ett hinder mot ett omfattande informationsutbyte mellan MSB och Polismyndigheten.
En hög informationssäkerhetsnivå kräver att samhället kan skydda känsliga uppgifter om bl.a. säkerhetsåtgärder och sårbarheter i våra
Regelverket ger de brottsbekämpande myndigheterna goda förutsättningar att skydda de skyddsvärda uppgifterna från
Utredningen har i underhandskontakter med företrädare för Polismyndigheten och Åklagarmyndigheten undersökt hur dessa myndigheter ser på möjligheterna att utifrån gällande lagstiftning skydda känsliga uppgifter i brottsutredningar om dataintrång eller liknande brottslighet. I den brottsutredande verksamheten måste
106
Ds 2016:22 | Sekretessen hos brottsbekämpande myndigheter och hos domstol |
ständigt svåra avvägningar göras, t.ex. när det gäller vilka delar av förundersökningsmaterialet som ska åberopas som bevis i domstol, vad som ska tas in i ett förundersökningsprotokoll och när och på vilket sätt den som misstänks för brott ska få ta del av utredningsmaterialet. Det gäller vid all typ av brottslighet där uppgifter som omfattas av sekretess förekommer, och är inte en utmaning enbart i samband med utredningar om dataintrång eller liknande brottslighet.
Både inom polisen och hos åklagarväsendet finns uppfattningen att det nuvarande regelverket ger ett tillräckligt stort utrymme för de brottsutredande myndigheterna att skydda känslig information, både i förhållande till allmänheten och i förhållande till eventuell part. Myndigheterna har inte sett behov av förändringar av regelverket mot denna bakgrund.
En samstämmig uppfattning hos Polismyndigheten och Åklagarmyndigheten är vidare att en ökad medvetenhet och till en sådan medvetenhet kopplade utbildningsinsatser skulle ge polis och åklagare än bättre förutsättningar att klara både uppdraget att klara upp fler
Sammanfattningsvis anser utredningen att möjligheterna att bibehålla sekretess för aktuella uppgifter hos brottsbekämpande myndigheter och hos domstol är sådana att det inte finns anledning att avstå åtgärder i syfte att fler
107
9 Överväganden och förslag
9.1En uppgiftsskyldighet för Myndigheten för samhällsskydd och beredskap införs
Förslag: Myndigheten för samhällsskydd och beredskap (MSB) ska vara skyldig att lämna uppgifter om sådana
Skälen för promemorians förslag
Utredningens uppdrag har varit att analysera och föreslå åtgärder för att öka Polismyndighetens tillgång till information om
Det faktum att ett stort antal
109
Överväganden och förslag | Ds 2016:22 |
åtgärder. En effektiv lagföring av
Den nya ordningen med obligatorisk
För sådana
Kravet på rapportering enligt säkerhetsskyddsförordningen gäller bl.a. för sådana incidenter som allvarligt kan påverka säkerheten i ett system där hemliga uppgifter behandlas i en omfattning som inte är ringa eller om incidenten allvarligt kan påverka säkerheten i ett informationssystem som särskilt behöver skyddas mot terrorism. Sådana incidenter utgör typiskt sett mycket allvarliga hot mot informationssäkerheten där särskilda intressen att utreda bakomliggande brott gör sig gällande. Utredningen vill dock framhålla att även sådana incidenter som faller utanför säkerhetsskyddsförordningens tillämpningsområde, och som därför ska rapporteras till MSB, kan vara väl så angelägna att utreda ur ett brottsbekämpande perspektiv.
110
Ds 2016:22 | Överväganden och förslag |
Utredningen har i kapitel 7 ovan, med instämmande av både MSB och Polismyndigheten, bedömt att bestämmelser om sekretess normalt inte hindrar att uppgifter om sådana
Till MSB:s uppdrag hör att stödja samhället i arbetet med att förebygga och hantera
Utredningen har därför i underhandskontakter med MSB och Polismyndigheten undersökt förutsättningarna för en överenskommelse mellan myndigheterna om ett informationssamarbete om
111
Överväganden och förslag | Ds 2016:22 |
taktytor på såväl operativ som strategisk nivå. När denna promemoria lämnas till regeringen är arbetet med en sådan överenskommelse inte avslutat.
Från MSB:s sida har dock meddelats att myndigheten inte kommer att medverka till en överenskommelse som innebär en skyldighet att lämna uppgifter om rapporterade
MSB framhåller vidare att kraven på obligatorisk
MSB framhåller också att myndigheten uppmanar myndigheter som drabbats av brott att polisanmäla. MSB har påpekat att man i det sammanhanget kan agera mer aktivt än tidigare genom att jämte uppmaningen också lämna viss information om polisens verksamhet och även förmedla kontaktuppgifter till Polismyndigheten till de myndigheter som önskar sådana.
Utredningen anser i likhet med MSB att det finns utrymme att mer aktivt än tidigare verka för att rapporterande myndigheter polisanmäler. Enkla åtgärder som att förmedla kontaktuppgifter till Polismyndighetens nationella
112
Ds 2016:22 | Överväganden och förslag |
Det har inte varit möjligt för utredningen att inom uppdragets tidsram dra säkra slutsatser om de rapporterande myndigheternas benägenhet att enligt den nya ordningen med obligatorisk itincidentrapportering följa MSB:s uppmaningar att anmäla incidenter till polisen. De angrepp som rapporterats till MSB under april och maj månad 2016 har dock såvitt utredningen kunnat utröna inte i något fall anmälts till polisen (se avsnitt 4.3.3 ovan).
Utredningen har övervägt att föreslå regeringen att cirka ett år efter ikraftträdandet utvärdera den nya ordningen innan andra åtgärder vidtas. Utredningen bedömer emellertid att risken är stor att även mer aktiva åtgärder från MSB:s sida för att få myndigheter att polisanmäla inte kommer att vara tillräckligt effektiva. Frågan om myndigheternas benägenhet att anmäla är komplex, och risken finns att enskilda myndigheters agerande styrs av andra faktorer än sådana som är till gagn för samhällets samlade informationssäkerhetsarbete. Av liknande skäl som ligger till grund för införandet av obligatorisk
Ytterst handlar dessa frågor om en politisk avvägning av vilken vikt brottsbekämpningen ska tillmätas i förhållande till andra delar av samhällets informationssäkerhetsarbete. Utgångspunkten för denna utrednings uppdrag är att det är angeläget att brottsliga gärningar som utgör ett hot mot informationssäkerheten utreds, och att de individer som ansvarar för sådana handlingar lagförs. Denna utgångspunkt kan tyckas självklar, men utredningen har också noterat att det länge har varit en omdiskuterad fråga, både nationellt och internationellt, vilken vikt de brottsbekämpande myndigheternas insatser tillmäts i informationssäkerhetsarbetet.
Detta förhållningssätt återspeglas i MSB:s farhågor om vad det skulle betyda för myndigheternas rapporteringsvilja om uppgifter om
113
Överväganden och förslag | Ds 2016:22 |
porterande myndigheter för det fall att polis och åklagare i fler fall än i dag skulle utreda sådana brott. Självfallet förutsätter polis och åklagares verksamhet med att utreda
Utredningen anser mot denna bakgrund att MSB, trots de invändningar som myndigheten framfört, ska lämna uppgifter om sådana
I kapitel 5 ovan redovisas en undersökning av ordningen för informationsdelning i Nederländerna, Norge och Tyskland. I dessa länder finns ingen eller endast mer begränsade skyldigheter för behöriga myndigheter med ansvar för nät- och informationssäkerhet att rapportera incidenter till brottsbekämpande myndigheter än vad som här föreslås. I den europeiska cybersäkerhetsstrategi som
Polismyndigheten framförde i sitt remissvar på förslaget om obligatorisk incidentrapportering att systemet borde utformas så att incidenter som rör misstanke om brott och inte faller inom Säkerhetspolisens tillsynsområde borde rapporteras direkt till Polismyndigheten som första mottagare. Regeringen beslutade att även sådana incidenter ska rapporteras till MSB. Utredningen anser att det inte finns skäl att nu göra en annan bedömning, utan att Polismyndighetens behov av information om sådana incidenter väl tillgodoses av en uppgiftsskyldighet för MSB.
114
Ds 2016:22 | Överväganden och förslag |
9.2Uppgiftsskyldigheten regleras i förordning
Förslag: MSB:s skyldighet att lämna uppgifter till Polismyndigheten regleras i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Uppgiftsskyldighetens närmare omfattning och innebörd samt formerna för uppgiftslämnandet regleras inte.
Skälen för promemorians förslag
En författningsreglerad uppgiftsskyldighet är som beskrivits ovan inte nödvändig för att MSB ska kunna lämna uppgifter om itincidenter till Polismyndigheten. Att MSB har sådana möjligheter följer redan av MSB:s uppdrag och av att bestämmelser om sekretess normalt inte hindrar ett sådant uppgiftslämnande. Att uppgiftsskyldigheten författningsregleras innebär dock att uppgifter som omfattas av sekretess kan lämnas till Polismyndigheten även med stöd av 10 kap. 28 § offentlighets- och sekretesslagen (2009:400), OSL.
Flera invändningar kan resas mot att författningsreglera en uppgiftsskyldighet mellan MSB och Polismyndigheten. Ett syfte med regler om uppgiftsskyldighet mellan myndigheter är normalt att undanröja eventuella sekretesshinder för ett informationssamarbete, vilket inte är fallet här. MSB:s verksamhet på informationssäkerhetsområdet och i övrigt förutsätter vidare att myndigheten i många sammanhang lämnar uppgifter till och samverkar med andra myndigheter. En bestämmelse om MSB:s skyldighet att lämna vissa uppgifter till Polismyndigheten, och frånvaron av bestämmelser om uppgiftslämnande till andra myndigheter och i andra sammanhang, riskerar att skapa otydlighet om räckvidden av MSB:s samverkansansvar.
Utredningen har därför övervägt alternativet att regeringen i stället genom myndighetsstyrningen säkerställer att ett effektivt och ändamålsenligt informationssamarbete etableras mellan MSB och Polismyndigheten. Myndighetsstyrningen kan i så fall ske genom ett gemensamt särskilt uppdrag till MSB och Polismyndigheten att säkerställa att Polismyndigheten får tillgång till sådana uppgifter om
115
Överväganden och förslag | Ds 2016:22 |
rapportering till regeringen, lämnar också ett utrymme för myndigheterna att flexibelt hitta en effektiv och ändamålsenlig lösning. Utredningen bedömer att ett sådant uppdrag är en väl så effektiv åtgärd som en författningsreglerad uppgiftsskyldighet.
Ska uppgiftsskyldigheten författningsregleras förordar utredningen att bestämmelsen tas in i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap i anslutning till bestämmelsen om obligatorisk incidentrapportering. Att bestämmelsen avser lämnande av uppgifter om misstänkt brottslighet till en brottsbekämpande myndighet och bestämmelsens sekretessbrytande karaktär hindrar inte att den meddelas i form av förordning (jfr 10 kap. 28 § OSL).
Bestämmelsen bör utformas så att uppgiftsskyldigheten endast omfattar sådana uppgifter som MSB inhämtat med stöd av bestämmelsen om obligatorisk
En särskild utredare har fått i uppdrag att senast den 1 maj 2017 lämna förslag till hur EU:s direktiv om nät- och informationssäkerhet
Skyldigheten för MSB att lämna uppgift till Polismyndigheten ska gälla då det finns anledning att anta att incidenten har sin grund i en brottslig gärning. Av 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap följer att den obligatoriska incidentrapporteringen i sig avgränsats till allvarliga incidenter. Utredningen ser inte anledning att bland dessa incidenter avgränsa MSB:s uppgiftsskyldighet i förhållande till Polismyndigheten ytterligare, till exempel genom att endast omfatta vissa brott eller brott av visst straffvärde. Uppgiftsskyldigheten bör i stället gälla generellt.
Av MSB:s tillämpningsföreskrifter framgår att rapporterande myndigheter ska klassificera incidenten, varvid en kategori utgör
116
Ds 2016:22 | Överväganden och förslag |
angrepp. Det är normalt i dessa fall som skyldigheten att lämna uppgift till Polismyndigheten kommer att inträda. Den föreslagna uppgiftsskyldigheten är alltså avsedd att gälla i de situationer där MSB enligt gällande förordning har en skyldighet att uppmana den rapporterande myndigheten att anmäla incidenten till polisen.
Införs en skyldighet för MSB att lämna uppgift om incidenten till Polismyndigheten saknas skäl att föreskriva att MSB ska uppmana den rapporterande myndigheten att polisanmäla.
Uppgiftsskyldighetens närmare omfattning och innebörd bör inte regleras i förordningen utan utformas i samråd mellan myndigheterna. För polisens verksamhet är den grundläggande informationen att incidenten inträffat, vilken myndighet som rapporterat incidenten och hur Polismyndigheten kan kontakta myndigheten de mest centrala uppgifterna som MSB förfogar över. Även annan information som MSB inhämtar om incidentens karaktär, tidpunkt när den inträffade, om den pågår eller är avslutad och incidentens konsekvenser kan vara av stor betydelse för polisen i ett inledande skede.
En uppgiftsskyldighet för MSB syftar inte till att ersätta polisens behov av att inhämta uppgifter direkt från den rapporterande myndigheten. Uppgiftsskyldighetens främsta funktion är enligt utredningen att den ger Polismyndigheten förutsättningar att etablera en egen kontakt med den rapporterande myndigheten. Utredningen bedömer att en sådan kontakt sannolikt kommer att påverka myndighetens vilja och benägenhet att bistå polis och åklagare i utredningen av brottet. En erfarenhet som ofta framhållits i våra kontakter med både Polismyndigheten, Åklagarmyndigheten och Säkerhetspolisen är att det inom de allra flesta brottsutredningar etableras ett nära och förtroendefullt samarbete med den drabbade myndigheten. Ofta finns initialt ett flertal frågeställningar om hur brottsutredningen kan komma att påverka myndighetens verksamhet och om de brottsutredande myndigheternas förutsättningar att bl.a. skydda känsliga uppgifter, men när väl en dialog etablerats fungerar samarbetet i de allra flesta fall mycket väl.
Förordningen bör inte reglera formerna för hur uppgifterna lämnas till Polismyndigheten, utan även detta bör utformas i samråd mellan myndigheterna. En naturlig ordning är att tjänstemän vid MSB:s Verksamhet för cybersäkerhet och skydd av samhällsviktig verksamhet och poliser vid Polismyndighetens nationella it-
117
Överväganden och förslag | Ds 2016:22 |
brottscenter gemensamt utarbetar formerna för denna samverkan. Beroende på situation, informationens karaktär och komplexitet och övriga omständigheter kan både muntligt och skriftligt uppgiftslämnande komma ifråga.
Brottsbekämpning är en tidskritisk verksamhet och utredningen vill därför framhålla vikten av att stor skyndsamhet i uppgiftslämnandet iakttas. Mellan MSB och Polismyndigheten behöver därför utformas rutiner för att undvika onödig tidsspillan. Utredningen ser dock inte att den föreslagna uppgiftsskyldigheten aktualiserar behov att göra förändringar i MSB:s föreskrifter och rutiner kring incidentrapporteringen i förhållande till rapporterande myndigheter, utan den gällande ordningen med rapportering till MSB inom 24 timmar bedöms rimlig och ändamålsenlig också i förhållande till Polismyndighetens verksamhet och behov.
Utredningen bedömer att antalet rapporterade incidenter kommer vara av en sådan omfattning att informationshanteringen inte förutsätter administrativa åtgärder eller att ytterligare resurser tillförs myndigheterna, utöver de som redan finns vid MSB och Polismyndighetens nationella
Jämte att utveckla former för överlämnandet av uppgifter ser utredningen ett behov av att MSB och Polismyndigheten även utvecklar sin samverkan i såväl operativa som strategiska frågor. Diskussioner om en överenskommelse med den inriktningen pågår mellan myndigheterna.
Att polisen får information om en incident där anledning finns att anta att incidenten har sin grund i en brottslig gärning kan beroende på uppgiftens konkretion innebära att polisen i enlighet med bestämmelsen i 9 § polislagen (1984:387) ska upprätta en rapport om detta. Informationen kan också ge polis eller åklagare anledning fatta beslut om att inleda förundersökning.
118
10 Konsekvenser
Bedömning: Förslaget väntas få positiva konsekvenser för brottsbekämpningen. Förslagets ekonomiska konsekvenser är sådana att eventuellt ökade kostnader hos berörda myndigheter bedöms kunna finansieras inom befintliga ramar.
I kommittéförordningen (1998:1474) och förordningen (2007:1244) om konsekvensutredning vid regelgivning finns bestämmelser om hur konsekvenser av lämnade förslag ska redovisas. I uppdragsbeskrivningen anges därutöver särskilt att utredaren ska analysera och redovisa vilka ekonomiska konsekvenser som förslagen kan komma att medföra och föreslå hur eventuella kostnader för det allmänna ska finansieras.
I promemorian föreslås att en skyldighet införs för Myndigheten för samhällsskydd och beredskap (MSB) att lämna uppgifter om sådana
Förslaget bedöms ha positiva konsekvenser för brottsbekämpningen. Förslaget kommer att leda till en viss ökning av antalet anmälda brott. Fler brott kommer att utredas av polis och åklagare och förutsättningar ges för en ökning av antalet uppklarade brott och för att fler individer lagförs.
Förslaget förväntas medföra en ökad arbetsbelastning för främst Polismyndighetens nationella
119
Konsekvenser | Ds 2016:22 |
anleda några betydande kostnader för utbildningsinsatser eller liknande.
Antalet rapporterade
Förslaget föranleder behov av vissa begränsade informationsinsatser från främst MSB:s och Polismyndighetens sida till de statliga myndigheter som är skyldiga att rapportera
Förslaget gäller överlämnande av uppgifter om
Förslaget bedöms inte medföra några konsekvenser för den kommunala självstyrelsen, sysselsättning och offentlig service i olika delar av landet, små företag, jämställdheten mellan kvinnor och män eller möjligheten att nå de integrationspolitiska målen. Utredningens förslag påverkar inte heller Sveriges åtaganden till följd av medlemskapet i Europeiska unionen.
Utredningens överväganden om tidpunkten för ikraftträdande av förslaget och konsekvenserna därav framgår av kapitel 11.
120
11 Ikraftträdande
Förslag och bedömning: Förordningen om ändring i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska träda i kraft den 1 januari 2017. Några övergångsbestämmelser behövs inte.
Den föreslagna förordningsändringen innebär att skyldigheten för Myndigheten för samhällsskydd och beredskap att enligt 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap uppmana en myndighet som rapporterar en
121
12 Författningskommentar
12.1Förslaget till förordning om ändring i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap
20 § Till stöd för arbetet med samhällets informationssäkerhet ska en myndighet till Myndigheten för samhällsskydd och beredskap skyndsamt rapportera
En myndighet som tillhandahåller tjänster åt en annan organisation ska i samband med rapportering enligt första stycket informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten.
Rapporteringsskyldigheten omfattar inte sådana incidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen (1996:633).
Om det kan antas att en incident som rapporterats till Myndigheten för samhällsskydd och beredskap enligt första stycket har sin grund i en brottslig gärning, ska Myndigheten för samhällsskydd och beredskap skyndsamt lämna uppgifter om incidenten till Polismyndigheten.
I bestämmelsen stadgas en skyldighet för statliga förvaltningsmyndigheter att rapportera vissa
Första till och med tredje stycket är oförändrade.
Av de skäl som anges i kapitel 9 ändras fjärde stycket på så sätt att skyldigheten för MSB att uppmana en myndighet som lämnat en rapport enligt första stycket att anmäla incidenten till polisen om det kan antas att incidenten har sin grund i en brottslig gärning ersätts med en skyldighet för MSB att i dessa fall lämna uppgifter om incidenten till Polismyndigheten.
123
Författningskommentar | Ds 2016:22 |
Bestämmelsen har utformats så att uppgiftsskyldigheten endast omfattar sådana uppgifter som MSB inhämtat med stöd av denna förordning, och omfattar således inte sådana
Uppgiftsskyldighetens närmare omfattning och innebörd regleras inte i förordningen utan bör utformas i samråd mellan MSB och Polismyndigheten.
124
Departementsserien 2016
Kronologisk förteckning
1.Kontroller och inspektioner
iSverige av Europeiska byrån för bedrägeribekämpning. Fi.
2.Några frågor om offentlighet och sekretess. Ju.
3.Uppföljning av återvändandedirektivet och direktivet om varaktigt bosatta tredjelandsmedborgares ställning. Ju.
4.Effektivare hyres- och arrendenämnder. Ju.
5.Mer tydlighet och aktivitet
isjuk- och aktivitetsersättningen. S.
6.Entreprenörsansvar och svenska kollektivavtalsvillkor vid utstationering. A.
7.Tolktjänst för vardagstolkning. S.
8.Hälsoväxling för aktivare rehabilitering och omställning på arbetsplatserna. S.
9.Ny lag om tilläggsavgift i kollektivtrafik. N.
10.Nya regler för europeiska småmål – lättare att pröva tvister inom EU. Ju.
11.Anpassningar av svensk rätt till
12.Etisk granskning av klinisk läkemedelsprövning. U.
13.Nya möjligheter till operativt polissamarbete med andra stater. Ju.
14.Förtydliganden av lönestöden för personer med funktionsnedsättning som medför nedsatt arbetsförmåga. Byte av benämningar på lönebidrag, utvecklingsanställning och trygghetsanställning. A.
15.Normgivningen inom åklagarväsendet
m.m.Ju.
16.Ersättning vid expropriation av bostäder. Ju.
17.Otillåtna bosättningar. Ju.
18.Ytterligare åtgärder för att genomföra
19.Jämställda pensioner? S.
20.Strada.
Transportstyrelsens olycksdatabas. N.
21.Ändringar i fråga om sysselsättning för asylsökande och kommunplacering av ensamkommande barn. A.
22.Polisens tillgång till information om vissa
Departementsserien 2016
Systematisk förteckning
Arbetsmarknadsdepartementet
Entreprenörsansvar och svenska kollektivavtalsvillkor vid utstationering. [6]
Förtydliganden av lönestöden för personer med funktionsnedsättning som medför nedsatt arbetsförmåga.
Byte av benämningar på lönebidrag, utvecklingsanställning och trygghetsanställning. [14]
Ändringar i fråga om sysselsättning för asylsökande och kommunplacering av ensamkommande barn. [21]
Finansdepartementet
Kontroller och inspektioner i Sverige av Europeiska byrån för bedrägeribekämpning. [1]
Justitiedepartementet
Några frågor om offentlighet och sekretess. [2]
Uppföljning av återvändandedirektivet och direktivet om varaktigt bosatta tredjelandsmedborgares ställning. [3]
Effektivare hyres- och arrendenämnder. [4]
Nya regler för europeiska småmål – lättare att pröva tvister inom EU. [10]
Nya möjligheter till operativt polissamarbete med andra stater. [13]
Normgivningen inom åklagarväsendet m.m. [15]
Ersättning vid expropriation av bostäder. [16]
Otillåtna bosättningar. [17]
Polisens tillgång till information om vissa
Näringsdepartementet
Ny lag om tilläggsavgift i kollektivtrafik. [9]
Strada.
Transportstyrelsens olycksdatabas. [20]
Socialdepartementet
Mer tydlighet och aktivitet
i sjuk- och aktivitetsersättningen. [5] Tolktjänst för vardagstolkning. [7]
Hälsoväxling för aktivare rehabilitering och omställning på arbetsplatserna. [8]
Anpassningar av svensk rätt till EU- förordningen om kliniska läkemedelsprövningar. [11]
Ytterligare åtgärder för att genomföra
Jämställda pensioner? [19]
Utbildningsdepartementet
Etisk granskning av klinisk läkemedelsprövning. [12]