EU:s cybersäkerhetsakt
–kompletterande nationella bestämmelser om cybersäkerhetscertifiering
Delbetänkande av Cybersäkerhetsutredningen
Stockholm 2020
SOU 2020:58
SOU och Ds kan köpas från Norstedts Juridiks kundservice. Beställningsadress: Norstedts Juridik, Kundservice, 106 47 Stockholm Ordertelefon:
Webbadress: www.nj.se/offentligapublikationer
För remissutsändningar av SOU och Ds svarar Norstedts Juridik AB på uppdrag av Regeringskansliets förvaltningsavdelning.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2003:2 (reviderad
En kort handledning för dem som ska svara på remiss.
Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck: Elanders Sverige AB, Stockholm 2020
ISBN
ISSN
Till statsrådet Peter Hultqvist
Regeringen beslutade den 31 oktober 2019 att tillkalla en särskild ut- redare (dir. 2019:73) med uppdrag att lämna förslag till anpassningar och kompletterande författningsbestämmelser som EU:s cybersäker- hetsakt ger anledning till och att överväga behovet av vissa ytterligare krav till skydd för Sveriges säkerhet.
Den 3 februari 2020 förordnades lagmannen Nils Cederstierna som särskild utredare. Som sakkunniga förordnades den 2 mars 2020 rättssakkunniga Karin Byström, Försvarsdepartementet, ämnesrådet Catharina Hallström, Försvarsdepartementet, ämnesrådet Richard Henriksson, Utrikesdepartementet, departementssekreteraren Linnéa Jannes, Utrikesdepartementet, departementssekreteraren Staffan Lindmark, Infrastrukturdepartementet, rättssakkunniga Emelie Smiding, Justitiedepartementet, och militärsakkunniga Anna Weibull, Försvarsdepartementet. Samma dag förordnades bedömningsledaren
Som sekreterare i utredningen anställdes den 3 februari 2020 hov- rättsassessorn Patrik Roos. Seniora rådgivaren Thomas Wallander anställdes som huvudsekreterare den 10 februari 2020.
Utredningen har tagit namnet Cybersäkerhetsutredningen (Fö 2019:1).
Genom tilläggsdirektiv den 14 maj 2020 förlängdes utrednings- tiden för den del av uppdraget som avser anpassningar med anledning av EU:s cybersäkerhetsakt (dir. 2020:57).
Härmed överlämnar utredningen delbetänkandet EU:s cybersäker- hetsakt – kompletterande nationella bestämmelser om cybersäkerhets- certifiering (SOU 2020:58). Uppdragets första del är härigenom slut- fört.
Stockholm i september 2020
Nils Cederstierna
/Thomas Wallander
/Patrik Roos
Innehåll
1.1Förslag till lag med kompletterande bestämmelser
till EU:s cybersäkerhetsakt (cybersäkerhetsakten) .............. |
1.2Förslag till förordning med kompletterande bestämmelser
till EU:s cybersäkerhetsakt (cybersäkerhetsakten) .............. |
1.3Förslag till förordning om ändring i offentlighets-
5
Innehåll |
SOU 2020:58 |
6.3En ny lag och en ny förordning med kompletterande
bestämmelser till EU:s cybersäkerhetsakt införs ............... |
6
SOU 2020:58Innehåll
7.4.2Utfärdande och innehav av europeiska
8.3.2Certifieringsorganet och krav på oberoende
9.2.2Rätten att genomföra undersökningar
i form av kontroller ............................................... |
9.2.3Rätten att få tillträde till lokaler och biträde
|
||
7
Innehåll |
SOU 2020:58 |
9.5.8Den nationella myndigheten
för cybersäkerhetscertifiering ska besluta
8
SOU 2020:58 |
Innehåll |
11.2 Myndigheters ärendehandläggning ...................................... |
|
11.2.1 Regler i förvaltningslagen...................................... |
11.2.2Ärendehandläggning hos nationella
12.7.2Sekretessgräns inom den nationella
|
||
Slutsatser ................................................................ |
||
9
Innehåll |
SOU 2020:58 |
10
SOU 2020:58 |
|
Innehåll |
15 Författningskommentar ............................................ |
||
|
||
till EU:s cybersäkerhetsakt (cybersäkerhetsakten) ............ |
||
Referenser ...................................................................... |
||
Bilagor |
|
|
Bilaga 1 |
Kommittédirektiv 2019:73 ........................................... |
|
Bilaga 2 |
Kommittédirektiv 2020:57 ........................................... |
|
Bilaga 3 |
EU:s cybersäkerhetsakt................................................ |
355 |
11
Förkortningar
CA |
Certification Authority |
CC |
Common Criteria |
|
|
CCRA |
Common Criteria Recognition Arrangement |
CSEC |
Sveriges certifieringsorgan för |
|
|
CERT |
Computer Emergency Response Team |
cPP |
collaborative Protection Profile |
|
|
CSCG |
Focus Group on Cybersecurity |
CSIRT |
Computer Security Incident Response Team |
|
|
EAL |
Evaluation Assurance Level |
ECCG |
Europeiska gruppen för cybersäkerhets- |
|
certifiering |
|
|
ECSO |
Cyber Security Organisation |
ENISA |
European Union Agency for Cybersecurity |
|
|
EU |
Europeiska unionen |
FIDI |
Forum för informationsdelning om informations- |
|
säkerhet |
|
|
FMV |
Försvarets materielverk |
FRA |
Försvarets radioanstalt |
|
|
IKT |
Informations- och kommunikationsteknik |
MISWG |
Multinational Industrial Security Working Group |
|
|
MSB |
Myndigheten för samhällsskydd och beredskap |
MUST |
Militära underrättelse- och säkerhetstjänsten |
|
|
NCIRC |
NATOComputer Incident Response Capability |
NCSA |
National Communications Security Authority |
|
|
NDA |
National Distribution Authority |
|
13 |
Förkortningar |
SOU 2020:58 |
PP |
Protection Profile |
||
|
|
|
|
PTS |
|
Post- och telestyrelsen |
|
SAMFI |
Samverkansgruppen för informationssäkerhet |
||
|
|
||
SIS |
|
Svenska Institutet för Standarder |
|
Senior Officials Group Information Systems |
|||
|
|
Security – Mutual Recognition Agreement |
|
|
|
||
SOU |
|
Statens offentliga utredningar |
|
Swedac |
Styrelsen för ackreditering och teknisk kontroll |
||
|
|
||
ST |
|
Security target |
|
|
|
|
|
14
Sammanfattning
Uppdraget
Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommuni- kationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) trädde i kraft den 27 juni 2019. Förordningen började tillämpas direkt med undantag för vissa artiklar som kräver kompletterande bestämmelser på nationell nivå och som därför ska börja tillämpas först den 28 juni 2021. Det huvudsakliga syftet med förordningen är att uppnå en hög nivå i fråga om cybersäkerhet, cyberresiliens och förtroende inom unionen och säkerställa en väl fungerande inre marknad.
Utredningens uppdrag i denna första del har varit att föreslå de anpassningar och kompletterande nationella författningsbestämmel- ser som EU:s cybersäkerhetsakt ger anledning till och som behöver finnas på plats när förordningen i sin helhet börjar tillämpas den 28 juni 2021.
I uppdraget har ingått att överväga och föreslå vilken befintlig nationell myndighet som ska utses att fullgöra de uppgifter och till- delas de ansvarsområden som följer av EU:s cybersäkerhetsakt, bl.a. uppdraget att utöva tillsyn över efterlevnaden av det europeiska ram- verket för cybersäkerhetscertifiering. Det har även ingått att under- söka vilka kompletterande nationella bestämmelser, bl.a. processuella bestämmelser och bestämmelser om sanktioner, som förordningen kräver eller som det annars finns anledning att införa.
Utredningen kommer i slutbetänkandet att analysera och över- väga om det bör införas krav på certifiering och godkännande av vissa produkter, tjänster och processer som ska användas i verksam-
15
Sammanfattning |
SOU 2020:58 |
heter som är av betydelse för Sveriges säkerhet. Denna del av upp- draget ska redovisas senast den 1 mars 2021.
Behovet av ökad cybersäkerhet
Digitaliseringen beskrivs som vår tids starkaste förändringsfaktor och innebär att en allt större andel av aktiviteterna i samhället är beroende av nätverk och informationssystem som används av myn- digheter, organisationer, företag och privatpersoner. Den digitala ut- vecklingen ger stora möjligheter att förbättra och effektivisera män- niskors vardag och olika verksamheter. Digitaliseringen har skapat nya former av kommunikation, datahantering och datalagring. I dag bygger många system för att hantera information huvudsakligen på digital informations- och kommunikationsteknik (IKT). Med den tilltagande digitaliseringen och globaliseringen, som ökar beroenden över
16
SOU 2020:58 |
Sammanfattning |
EU:s cybersäkerhetsakt
EU:s cybersäkerhetsakt är uppdelad i två delar. Den första delen be- handlar mål, uppgifter och organisatoriska frågor som rör Europeiska unionens cybersäkerhetsbyrå (Enisa). Den andra delen reglerar fast- ställandet av ett europeiskt ramverk för cybersäkerhetscertifiering. Kommissionen ska utarbeta löpande arbetsprogram för europeisk cybersäkerhetscertifiering där det fastställs strategiska prioriteringar för framtida europeiska ordningar för cybersäkerhetscertifiering. Enisa ska med hjälp av expertråd och i nära samarbete med den Europeiska gruppen för cybersäkerhetscertifiering (ECCG) lämna förslag på europeiska certifieringsordningar. Syftet är att säkerställa en tillfredsställande nivå i fråga om cybersäkerhet för informations- och kommunikationsteknik (IKT) i unionen samt att undvika en fragmentering av den inre marknaden när det gäller certifierings- ordningar i unionen. Skapandet av europeiska ordningar för cyber- säkerhetscertifiering kommer att medföra att certifikat som utfärdas enligt dessa certifieringsordningar blir giltiga och erkända i alla med- lemsstater. Förutom att beskriva de säkerhetsmålsättningar som ska beaktas i utformningen av de europeiska ordningarna för cybersäker- hetscertifieringar, anger EU:s cybersäkerhetsakt vad minimiinnehållet i sådana ordningar bör vara.
Ny lag som kompletterar EU:s cybersäkerhetsakt
Utredningen föreslår att de kompletterande nationella bestämmelser till EU:s cybersäkerhetsakt som krävs ska samlas i en ny lag och en ny förordning. I lagen anges att regeringen ska utse en nationell myndighet för cybersäkerhetscertifiering och ges kompletterande bestämmelser om myndighetens befogenheter och möjlighet att be- sluta om sanktioner för överträdelser av regelverket samt vissa pro- cessuella bestämmelser.
En nationell myndighet för cybersäkerhetscertifiering
EU:s cybersäkerhetsakt ställer krav på att en eller flera nationella myn- digheter för cybersäkerhetscertifiering utses av medlemsstaterna. Med utgångspunkt i att en sådan myndighet ska utses bland befint-
17
Sammanfattning |
SOU 2020:58 |
liga myndigheter, krav på kunskap och erfarenhet av informations- och kommunikationsteknologi (IKT) och att det nationella certifier- ingsorganet för
Det nationella certifieringsorganet vid myndigheten, CSEC, föreslås som ackrediterat organ för bedömning av överensstämmelse enligt artiklarna 56.5 och 56.6 i EU:s cybersäkerhetsakt. Det innebär att CSEC eller det ackrediterade organ för bedömning av överens- stämmelse som bemyndigas ska ansvara för cybersäkerhetscerti- fiering på högsta assuransnivån. I syfte att säkerställa certifierings- organets oberoende som ackrediterat organ för bedömning av överensstämmelse föreslås att det i författning anges att vid För- svarets materielverk ska finnas ett ackrediterat organ för bedömning av överensstämmelse enligt EU:s cybersäkerhetsakt. När chefen för det ackrediterade organet för bedömning av överensstämmelse ut- övar verksamhet enligt cybersäkerhetsakten är denne inte underställd myndighetschefen. Certifieringsorganets ekonomiska resurser bör beslutas i särskild ordning av regeringen.
Tillsyn
EU:s cybersäkerhetsakt anger att den nationella myndigheten för cybersäkerhetscertifiering ska övervaka och kontrollera efterlevna- den av bestämmelserna i det europeiska ramverket för cybersäker- hetscertifiering.
Utredningen föreslår att Försvarets materielverk som nationell myndighet för cybersäkerhetscertifiering ska fullgöra de tillsyns- uppgifter som följer av EU:s cybersäkerhetsakt och får således de befogenheter som redan framgår av aktens bestämmelser.
Myndigheten ska behandla klagomål som rör en utfärdad EU- försäkran om överensstämmelse eller ett europeiskt cybersäkerhets-
18
SOU 2020:58 |
Sammanfattning |
certifikat. Myndigheten ska också kontrollera att tillverkare eller leverantörer som genomför självbedömning av överensstämmelse av
Myndigheten ska även bistå det nationella ackrediteringsorganet med övervakning och kontroll av verksamhet som bedrivs av orga- nen för bedömning av överensstämmelse i enlighet med cybersäker- hetsaktens bestämmelser.
Befogenheter
I EU:s cybersäkerhetsakt ges den nationella myndigheten för cyber- säkerhetscertifiering vissa minimibefogenheter för att kunna full- göra sina tillsynsuppgifter.
Utredningen föreslår vissa kompletterande bestämmelser om till- synsbefogenheter. Myndigheten ska besluta de förelägganden som behövs för att EU:s cybersäkerhetsakt, de genomförandeakter som har meddelats med stöd av den förordningen, den nya lagen och föreskrifter som har meddelats i anslutning till lagen ska följas. Myn- digheten kan förelägga en berörd aktör att lämna information eller vidta någon annan åtgärd. Myndigheten får även besluta om cyber- säkerhetscertifikat och kan återkalla ett utfärdat certifikat. Myndig- heten kan besluta att ett föreläggande ska gälla omedelbart. Ett be- slut om föreläggande får förenas med vite. Myndigheten får även i syfte att genomföra en kontroll göra en undersökning i den berörda aktörens lokaler. Rätten till tillträde till lokal ska dock inte gälla bo- städer. Myndigheten föreslås få rätt att få biträde av Kronofogde- myndigheten vid tillsyn. Regeringen eller den myndighet som regeringen bestämmer föreslås få meddela närmare föreskrifter om formerna för lämnandet av information, kontrollförfarandet vid undersökningar och utredningsförfarandet vid tillträde till lokaler.
19
Sammanfattning |
SOU 2020:58 |
Sanktioner
EU:s cybersäkerhetsakt anger att medlemsstaterna ska fastställa regler om sanktioner vid överträdelse av bestämmelserna i det euro- peiska ramverket för cybersäkerhetscertifiering. Sanktionerna ska vara effektiva, proportionella och avskräckande.
Utredningen föreslår att den nationella myndigheten för cyber- säkerhetscertifiering får besluta att sanktionsavgift ska påföras den som utfärdar en
Avgiften ska tas ut även om överträdelsen inte skett uppsåtligen eller av oaktsamhet, dvs. ett strikt ansvar ska gälla. Om det finns sär- skilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut sanktionsavgiften får avgiften sättas ned. Avgiften ska bestämmas till lägst 10 000 kronor och högst 15 miljo- ner kronor.
Nationell strategi
Regeringen bör överväga att ta fram en nationell strategi för att till- varata nationella intressen när det europeiska ramverket för cyber- säkerhetscertifiering utvecklas. I arbetet bör berörda myndigheter, andra offentliga aktörer och näringslivet ges möjlighet att delta.
20
SOU 2020:58 |
Sammanfattning |
Samverkan
För att säkerställa att nationella intressen kan representeras och till- varatas i arbetet med det europeiska ramverket för cybersäkerhets- certifiering ska det finns en adekvat nationell representation i Euro- peiska gruppen för cybersäkerhetscertifiering. Det ställer krav på en utbyggd och väl fungerande samverkan mellan berörda myndigheter, berörda näringslivsorganisationer och företag.
Konsekvenser
Utredningens förslag syftar till att uppfylla kraven i EU:s cyber- säkerhetsakt och att bidra till ett ändamålsenligt och effektivt genomslag och tillämpning av det europeiska ramverket för cyber- säkerhetscertifiering. Analysen av behovet av kompletterande natio- nella bestämmelser har dock försvårats av osäkerheten om det närmare innehållet i de framtida europeiska ordningarna för cyber- säkerhetscertifiering (genomförandeakter).
Utredningen anser att det för närvarande inte är möjligt att över- blicka vilka direkta konsekvenser som införandet av det europeiska ramverket för cybersäkerhetscertifiering kommer att medföra för den utpekade nationella myndigheten för cybersäkerhetscertifiering eller för andra aktörer som berörs av det angivna ramverket eftersom några genomförandeakter ännu inte antagits. Det går inte heller att bedöma i vilken omfattning som berörda aktörer kommer att an- vända sig av möjligheten till
Utredningen har vid utformningen av förslagen, bl.a. när det gäller uppgifter för och organisering av den nationella myndigheten för cybersäkerhetscertifiering, tagit hänsyn till de alternativ som kan förväntas vara mest ändamålsenliga och kostnadseffektiva. Myndig- hetens åligganden enligt EU:s cybersäkerhetsakt medför kostnader för administrativt arbete och för tillsyn, bl.a. medför nya befogen- heter och sanktionsmöjligheter behov av att utbilda personal och ändra vissa arbetsformer. Inledningsvis bedöms dock kostnaderna för
21
Sammanfattning |
SOU 2020:58 |
detta vara begränsade. Det nationella certifieringsorganet CSEC:s verksamhet föreslås fortsatt vara anslagsfinansierat för vissa grund- läggande funktioner och fortsatt avgiftsfinansierat för uppdragen med cybersäkerhetscertifiering.
Utredningens förslag om kompletterande bestämmelser avseende myndighetens befogenheter och möjligheten att besluta om sanktions- avgift bedöms inte medföra några ekonomiska konsekvenser i sig.
De förslag till framför allt samverkan och samordning mellan berörda myndigheter som utredningen föreslår bedöms i kostnads- avseende vara marginella.
Det europeiska ramverket för cybersäkerhetscertifiering innebär i nuläget frivillig cybersäkerhetscertifiering. I framtiden kan emeller- tid användningen av europeisk cybersäkerhetscertifiering bli obliga- torisk. En ekonomisk aktör beslutar om att tillhandahålla
Den nya lagen och övriga författningsändringar föreslås träda i kraft den 28 juni 2021.
22
Summary
Remit
Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications tech- nology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) entered into force on 27 June 2019, with the exception of certain articles which require supplementary provisions at national level and which therefore will not be applied until 28 June 2021. The main purpose of the Regulation is to achieve a high level of cybersecurity, cyber resilience and trust within the Union, and to ensure the proper functioning of the internal market.
The Inquiry’s remit for this first part consisted of proposing the adaptations and supplementary national statutory provisions neces- sitated by the EU Cybersecurity Act and which must be in place when the entire Regulation begins to apply on 28 June 2021.
The remit included considering and proposing which existing national authority should be designated to perform the tasks and assigned the areas of responsibility ensuing from the EU Cyber- security Act, including the task of supervising compliance with the European cybersecurity certification framework. It also included examining which supplementary national provisions – including procedural provisions and provisions on penalties – are required by the Regulation or which should be introduced for other reasons.
In its final report, the Inquiry will analyse and consider whether requirements should be introduced on certification and approval of certain products, services and processes that will be used in activities of importance to Sweden’s security. A report on this part of the remit is to be presented by 1 March 2021.
23
Summary |
SOU 2020:58 |
Need for increased cybersecurity
Digitalisation is described as the strongest factor for change of our time and means that a growing proportion of social activities depend on networks and information systems used by public authorities, organisations, companies and private individuals. The digital trans- formation provides major opportunities to improve and streamline people’s normal lives and different activities. Digitalisation has cre- ated new forms of communication, data management and data storage. Today, many information management systems are based primarily on digital information and communications technology (ICT). Following in the wake of the increasing digitalisation and globalisation, which increase dependencies over national and sec- toral borders and across areas of responsibility, is also increased focus on cyber issues in society. Information and cybersecurity efforts – by both public and private actors – are seen as necessary in digitalisation processes so that society is able to function and de- velop in line with the objectives that have been set in the different policy areas. At the same time as a growing number of countries are developing their cyber strategies, doctrines and capabilities, cyber- attacks against different interests and activities are increasing. These threats may consist of attacks that have political, financial or crimi- nal motives, but unintentional incidents that affect cybersecurity are also increasing. Cyber incidents can disrupt the provision of essen- tial services, such as water, health and medical care, electricity and mobile services. The possibilities of influencing information systems in democratic election processes and disinformation campaigns are also a challenge. Dependency on digital infrastructure and services through connected devices and widespread internet connectivity creates increased vulnerability, which places higher demands on information security and cybersecurity. The importance of informa- tion and cybersecurity increases to a corresponding degree. Moni- toring and certifying ICT products, ICT services and ICT processes can make them more secure and also increase trust in them.
24
SOU 2020:58 |
Summary |
EU Cybersecurity Act
The EU Cybersecurity Act is divided into two parts. The first part deals with objectives, tasks and organisational matters relating to the European Union Agency for Cybersecurity (ENISA). The second part regulates the establishment of a European cybersecurity certifi- cation framework. The Commission will prepare a rolling work programme for European cybersecurity certification which sets out strategic priorities for future European cybersecurity certification schemes. With the help of expert advice and in close cooperation with the European Cybersecurity Certification Group (ECCG), ENISA will submit proposals for European certification schemes. The aim is to ensure an adequate level of cybersecurity for informa- tion and communication technology (ICT) in the Union, and to avoid fragmentation of the internal market with regard to cyber- security certification schemes in the Union. The creation of the European cybersecurity certification schemes will mean that certifi- cates issued under these certification schemes will be valid and rec- ognised in all Member States. In addition to describing the security objectives that must be considered when designing the European cybersecurity certification schemes, the EU Cybersecurity Act specifies what the minimum contents of such schemes should be.
New legislation that supplements the EU Cybersecurity Act
The Inquiry proposes that the necessary supplementary national provisions to the EU Cybersecurity Act be collected in a new law and a new ordinance. The law will specify that the Government is to designate a national cybersecurity certification authority and pro- vide supplementary provisions on this authority’s powers and ability to impose penalties for infringements of the regulatory framework, and also certain procedural provisions.
A national cybersecurity certification authority
The EU Cybersecurity Act requires that Member States designate one or more national authorities for cybersecurity certification. Considering that an existing authority is to be selected for this role,
25
Summary |
SOU 2020:58 |
requirements on knowledge and experience of information and com- munication technology (ICT), and bearing in mind that the Swedish Certification Body for IT Security (CSEC) at the Swedish Defence Materiel Administration must be involved when it comes to cyber- security certification at the highest assurance level, it is proposed that the Swedish Defence Materiel Administration be designated as the national authority for cybersecurity certification. Accordingly, the Swedish Defence Materiel Administration will therefore carry out the tasks that follow from the European cybersecurity certifi- cation framework. These tasks include international monitoring of the cybersecurity certification field, cooperating with national and international actors, taking responsibility for cybersecurity certifi- cation at the highest assurance level and supervising compliance with the regulatory system.
The Swedish Certification Body for IT Security (CSEC) at the Swedish Defence Materiel Administration is proposed as the accred- ited conformity assessment body under Articles 56.5 and 56.6 of the EU Cybersecurity Act. This means that the CSEC, or any other accred- ited conformity assessment body that is appointed, will be respon- sible for cybersecurity certification at the highest assurance level.
In order to ensure the certification body’s independence as the accredited conformity assessment body, it is proposed that it be specified in law that there is to be an accredited conformity assess- ment body at the Swedish Defence Materiel Administration pur- suant to the EU Cybersecurity Act.
When the head of the accredited conformity assessment body conducts activities pursuant to the EU Cybersecurity Act, they are not subordinate to the head of the Swedish Defence Materiel Administration. The certification body’s financial resources should be determined by the Government in a special procedure.
Supervision
The EU Cybersecurity Act states that the national authority for cybersecurity certification is to supervise and enforce the provisions of the European cybersecurity certification framework.
The Inquiry proposes that as the national authority for cyber- security certification, the Swedish Defence Materiel Administration
26
SOU 2020:58 |
Summary |
is to carry out the supervisory tasks that follow from the EU Cyber- security Act and thus be granted the powers as regulated in the the Act.
The Swedish Defence Materiel Administration will deal with complaints concerning an EU statement of conformity that has been issued or a European cybersecurity certificate. It will also check that manufacturers or providers that conduct conformity
Powers
The EU Cybersecurity Act grants the national authority for cyber- security certification certain minimum powers so that it can fulfil its supervisory tasks.
The Inquiry proposes certain supplementary provisions concern- ing supervisory powers. The authority will determine the orders necessary to ensure compliance with the EU Cybersecurity Act, the implementing acts issued pursuant to the Regulation, the new act and regulations issued in connection with the act. It can order a relevant actor to provide information or take some other appropriate action. The authority can also approve cybersecurity certificates and revoke a certificate that has been issued. The authority may decide that an order is to apply with immediate effect. A decision to issue an order may be accompanied by a conditional financial penalty. The authority may also conduct an examination of the relevant actor’s premises for supervisory purposes. However, the right to access premises will not apply to living accommodations. It is proposed that the authority have the right to be assisted by the Swedish Enforcement Authority when conducting supervision. It is also proposed that the Government or the authority designated by the Government be permitted to issue more detailed regulations on the
27
Summary |
SOU 2020:58 |
forms for submitting information, the supervisory procedure for investigations and examination procedures when accessing premises.
Penalties
The EU Cybersecurity Act states that Member States are to estab- lish rules on penalties for infringements of the provisions in the European cybersecurity certification framework. The penalties are to be effective, proportionate and dissuasive.
The Inquiry proposes that the national authority for cybersecu- rity certification be allowed to impose fines on those who: fail to report an EU statement of conformity or possession of a European cybersecurity certificate; issue an EU statement of conformity with- out meeting established requirements on cybersecurity; submit in- correct or incomplete information when applying for cybersecurity certification; hold a European cybersecurity certificate and fail to provide information on vulnerabilities or irregularities that are detected; or issue an EU statement of conformity or who hold a cybersecurity certification and who fail to submit supplementary security information. It will also be possible to impose fines on those who violate the conditions for issuing, maintaining, continuing and renewing European cybersecurity certificates, as well as the condi- tions for reducing or extending the scope of certification, infringe on a prohibition decision or use a European cybersecurity certificate that has been revoked. Accordingly, the fee may be imposed on issuers of European cybersecurity certificates and certificate holders (ICT manufacturers and providers), and conformity assessment bodies.
The fee is to be imposed even if the infringement was not com- mitted intentionally or through negligence, e.g. strict liability ap- plies. If there are special grounds or if, in view of the circumstances, it would otherwise not be reasonable to impose a fine, it may be re- duced. The fine is to be set at no less than SEK 10 000 and no more than SEK 15 000 000.
28
SOU 2020:58 |
Summary |
National strategy
The Government should consider preparing a national strategy to safeguard national interests when the European cybersecurity certi- fication framework is developed. Relevant public authorities, other public sector actors and business should have the chance to partici- pate in this work.
Cooperation
To ensure that national interests can be represented and safeguarded in work on the European cybersecurity certification framework, there must be adequate national representation in the European Cybersecurity Certification Group. This requires expanded and effi- cient cooperation among relevant public authorities, business organ- isations and companies.
Impact
The aim of the Inquiry’s proposals is to meet the requirements of the EU Cybersecurity Act and to contribute to effective and effi- cient acceptance and application of the European cybersecurity certification framework. However, the analysis of the need for sup- plementary national provisions has been hampered by the uncertain- ty about the detailed contents of future European cybersecurity certification schemes (implementing acts).
The Inquiry considers that it is not currently possible to assess the direct impact that introduction of the European cybersecurity certification framework will have for the designated national author- ity for cybersecurity certification or for other actors affected by the specified framework, since no implementing act has yet been adopted. Nor is it possible to assess the extent to which relevant actors will make use of the option to obtain EU statements of conformity or issue European cybersecurity certificates, which also affects the need and scope of supervision. Consequently, it is also not possible to estimate the funding needed for implementation of the legislative proposals, except regarding the national authority for cybersecurity certification’s need for certain additional resources.
29
Summary |
SOU 2020:58 |
When drafting the proposals concerning matters such as tasks for and the organisation of the national authority for cybersecurity certification, the Inquiry took account of the alternative that can be expected to be the most appropriate and
The Inquiry’s proposals on supplementary provisions regarding the authority’s powers and the possibility to impose fines are not expected to entail any financial consequences in themselves.
The proposals presented by the Inquiry that primarily deal with cooperation and coordination between the relevant authorities are expected to have a marginal impact in terms of costs.
The European cybersecurity certification framework involves voluntary or mandatory cybersecurity certification. A financial actor decides to provide ICT products or services in the Union market on condition that the provisions on cybersecurity certification are fol- lowed. It is not possible to estimate the number of companies affected by the Inquiry’s proposals. Nor is it possible to make a more detailed assessment of the impact of the proposals on companies or enterprises in Sweden, other than that the companies that choose to issue an EU statement of conformity or apply for a European cyber- security certificate will incur costs in connection with the procedure. Effective supervision also increases the possibilities for entrepre- neurs to compete on equal terms. In the long term, the proposed provisions are expected to lead to increased cybersecurity and a more efficient market, which will ultimately benefit both financial actors and the functioning of the Union market.
It is proposed that the new act and other legislative amendments enter into force on 28 June 2021.
30
1 Författningsförslag
1.1Förslag till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt (cybersäkerhetsakten)
Härigenom föreskrivs följande.
Inledande bestämmelse
1 § Denna lag kompletterar Europaparlamentets och rådets för- ordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten), här benämnd EU:s cybersäkerhetsakt.
Termer och uttryck i denna lag har samma betydelse som i EU:s cybersäkerhetsakt.
Nationell myndighet för cybersäkerhetscertifiering
2 § Den myndighet som regeringen bestämmer är
1.nationell myndighet för cybersäkerhetscertifiering enligt EU:s cybersäkerhetsakt, och
2.utövar tillsyn över efterlevnaden av denna lag och föreskrifter som har meddelats i anslutning till lagen.
31
Författningsförslag |
SOU 2020:58 |
Ackreditering av organ för bedömning
3 § I Europaparlamentets och rådets förordning (EG) nr 765/2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kon- troll finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse enligt artikel 60.1 i EU:s cybersäkerhetsakt.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedöm- ning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.
Tillsynsbefogenheter och sanktioner
4 § Den nationella myndigheten för cybersäkerhetscertifiering har de befogenheter som anges i artikel 58.8 i EU:s cybersäkerhetsakt även vid tillsynen över efterlevnaden av denna lag och föreskrifter som har meddelats i anslutning till lagen.
5 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för att EU:s cybersäkerhets- akt, de genomförandeakter som har meddelats med stöd av den för- ordningen, denna lag och föreskrifter som har meddelats i anslutning till lagen ska följas.
Ett beslut om föreläggande får förenas med vite.
Den nationella myndigheten för cybersäkerhetscertifiering har rätt att få biträde av Kronofogdemyndigheten för tillsyn i enlighet med artikel 58.8 d i EU:s cybersäkerhetsakt.
6 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att återkalla europeiska cybersäkerhetscertifikat som utfär- dats av den myndigheten eller europeiska cybersäkerhetscertifikat som utfärdats av organ för bedömning av överensstämmelse i enlig- het med artikel 56.6 i EU:s cybersäkerhetsakt, om sådana certifikat inte uppfyller kraven i akten eller en europeisk ordning för cyber- säkerhetscertifiering.
32
SOU 2020:58 |
Författningsförslag |
7 § Den nationella myndigheten för cybersäkerhetscertifiering ska ta ut en sanktionsavgift av den som
1.utfärdar en
iEU:s cybersäkerhetsakt utan att fastställda krav på cybersäkerhet i EU:s cybersäkerhetsakt och motsvarande europeisk ordning för cybersäkerhetscertifiering är uppfyllda,
2.lämnar oriktiga eller ofullständiga uppgifter vid ansökan om cybersäkerhetscertifieringen enligt artikel 56.7 i EU:s cybersäker- hetsakt och motsvarande europeisk ordning för cybersäkerhetscerti- fiering,
3.innehar ett europeiskt cybersäkerhetscertifikat och underlåter att i enlighet med artikel 56.8 i EU:s cybersäkerhetsakt informera den myndighet eller det organ som avses i artikel 56.7 om alla sårbar- heter eller oriktigheter som upptäcks och som kan påverka överens- stämmelsen med de säkerhetskrav som gäller för den certifierade
4.utfärdat en
5.bryter mot villkor för utfärdande, bibehållande, fortsättande och förnyelse av europeiska cybersäkerhetscertifikat samt villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering enligt EU:s cybersäkerhetsakt eller motsvarande europeisk ordning för cybersäkerhetscertifiering
6.överträder ett beslut om förbud enligt 5 §, eller
7.använder ett europeiskt cybersäkerhetscertifikat som blivit åter- kallat enligt artikel 58.8 e i EU:s cybersäkerhetsakt.
8 § En sanktionsavgift ska bestämmas till lägst 10 000 kronor och högst 15 000 000 kronor.
9 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller risk för skada som uppstått till följd av överträdel- sen, om den som begått överträdelsen tidigare begått en överträdelse och de kostnader som denne undvikit till följd av överträdelsen.
33
Författningsförslag |
SOU 2020:58 |
10 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att sätta ned eller avstå från att ta ut en sanktionsavgift om överträdelsen är ringa eller om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
11 § En sanktionsavgift får inte beslutas om överträdelsen omfat- tas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
12 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av fått tillfälle att yttra sig inom två år från det att över- trädelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
13 § En sanktionsavgift ska betalas till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för in- drivning.
Bestämmelser om indrivning finns i lagen (1993:891) om indriv- ning av statliga fordringar m.m.
Vid indrivning får verkställighet ske enligt utsökningsbalken. En sanktionsavgift tillfaller staten.
14 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Tystnadsplikt
15 § Den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cyber- säkerhetsakt får inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes.
34
SOU 2020:58 |
Författningsförslag |
Den som bryter mot tystnadsplikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.
I det allmännas verksamhet tillämpas offentlighets- och sekretess- lagen (2009:400).
Avgifter
16 § Den nationella myndigheten för cybersäkerhetscertifiering får ta ut avgifter för sin verksamhet enligt EU:s cybersäkerhetsakt och denna lag.
Regeringen eller den myndighet som regeringen bestämmer får meddela förskrifter om avgiftssystemets utformning enligt första stycket.
Omprövning hos privata organ för bedömning av överensstämmelse
17 § Finner ett privat organ för bedömning av överensstämmelse att ett beslut som det meddelat är uppenbart oriktigt på grund av nya omständigheter eller av någon annan anledning ska organet ändra beslutet, om det kan ske snabbt och enkelt och utan att det blir till nackdel för någon enskild.
Överklagande
18 § Beslut enligt EU:s cybersäkerhetsakt och denna lag får över- klagas till allmän förvaltningsdomstol. Även beslut av ett privat organ för bedömning av överensstämmelse enligt dessa författningar får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 28 juni 2021.
35
Författningsförslag |
SOU 2020:58 |
1.2Förslag till förordning med kompletterande bestämmelser till EU:s cybersäkerhetsakt (cybersäkerhetsakten)
Härigenom föreskrivs följande.
Inledande bestämmelse
1 § Denna förordning innehåller bestämmelser i anslutning till lagen (0000:000) med kompletterande bestämmelser till EU:s förordning om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cyber- säkerhetscertifiering av informations- och kommunikationsteknik (cybersäkerhetsakten).
Förordningen innehåller också bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommuni- kationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).
Försvarets materielverks funktion
2 § Försvarets materielverk är nationell myndighet för cybersäker- hetscertifiering enligt lagen (0000:000) med kompletterande bestäm- melser till EU:s cybersäkerhetsakt.
3 § Försvarets materielverk ska beakta nationella säkerhetsintressen vid tillämpningen av EU:s cybersäkerhetsakt.
4 § Försvarets materielverk är nationell representant enligt arti- kel 62.2 i EU:s cybersäkerhetsakt.
5 § Försvarets materielverk får meddela de föreskrifter som behövs för verkställigheten av EU:s cybersäkerhetsakt, lagen (0000:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt och denna förordning.
36
SOU 2020:58 |
Författningsförslag |
Ackrediterat organ för bedömning av överensstämmelse
6 § Vid Försvarets materielverk ska finnas ett ackrediterat organ för bedömning av överensstämmelse enligt EU:s cybersäkerhetsakt.
7 § När chefen för det ackrediterade organet för bedömning av överensstämmelse utövar verksamhet enligt EU:s cybersäkerhetsakt är denne inte underställd myndighetschefen.
Överklagande
8 § I 40 § förvaltningslagen (2017:900) finns bestämmelser om över- klagande hos allmän förvaltningsdomstol.
Denna förordning träder i kraft den 28 juni 2021.
37
Författningsförslag |
SOU 2020:58 |
1.3Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)
Härigenom föreskrivs att bilagan till offentlighets- och sekretess- förordningen (2009:641) ska ha följande lydelse.
Bilaga1
Verksamheten består i |
Särskilda begränsningar |
|
i sekretessen |
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
162.utredning och tillsyn enligt Europaparlamentets och rådets för- ordning (EU) nr 2019/881 av den
17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av in- formations- och kommunikations- teknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) och lagen (0000:000) med kompletterande bestämmelser till EU:s cybersäker- hetsakt.
–– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Denna förordning träder i kraft den 28 juni 2021.
1Senaste lydelse 2020:717. Tillägget innebär inte att någon punkt i bilagan upphävs.
38
2 Uppdraget
2.1Bakgrund
Digitaliseringen beskrivs som vår tids starkaste förändringsfaktor och innebär att en allt större andel av aktiviteterna i samhället är be- roende av nätverk och informationssystem som används av myndig- heter, organisationer, företag och privatpersoner. Den digitala utveck- lingen ger stora möjligheter att förbättra och effektivisera människors vardag och olika verksamheter. Digitaliseringen har skapat nya for- mer av kommunikation, datahantering och datalagring. I dag bygger många system för att hantera information huvudsakligen på digital informations- och kommunikationsteknologi (IKT).
Med den tilltagande digitaliseringen och globaliseringen, som ökar beroenden över
Samtidigt som allt fler länder utvecklar strategier, doktriner och förmågor inom cyberområdet ökar förekomsten av cyberattacker mot olika intressen och verksamheter. Hoten kan utgöras av poli- tiskt, ekonomiskt och brottsligt motiverade angrepp, men även oav- siktliga incidenter som påverkar cybersäkerheten ökar. Den kraftiga tillväxten av sakernas internet (IoT), molnet (cloud) och stordata (Big Data) medför större utsatthet för säkerhetsbrister.
Cyberincidenterna kan t.ex. störa tillhandahållandet av nödvändiga tjänster, exempelvis vatten, hälso- och sjukvård, elektricitet och mobila tjänster. Möjligheterna till påverkan i informationssystem i demo- kratiska valprocesser och desinformationskampanjer är också en ut- maning. Genom att samhället och människorna blir alltmer beroende
39
Uppdraget |
SOU 2020:58 |
av digital infrastruktur och tjänster genom anslutna enheter och ut- bredd uppkoppling till internet ökar sårbarheten mot cyberattacker till alltmer oroande nivåer. Därutöver syns en ökad hotbild avseende antagonistiska aktörer med hög förmåga till cyberattacker. Vikten av fullgod informations- och cybersäkerhet ökar i motsvarande grad.
Genom att kontrollera och certifiera produkter, tjänster och pro- cesser kan man göra dem säkrare och därigenom även öka förtro- endet för dessa. Det finns certifieringsordningar inom ett stort antal områden, bl.a. inom informationssäkerhetsområdet men även på områden som
Avtal om ömsesidigt erkännande av certifikat inom EU har in- gåtts mellan några av medlemsstaterna (se avsnitt 3.5.1). Eftersom avtalen inte omfattar alla medlemsstater begränsas dess tillämplighet och genomslag samt effektiviteten på den inre marknaden. Ett certi- fikat utfärdat av en nationell myndighet för cybersäkerhetscerti- fiering erkänns dessutom i begränsad omfattning av andra medlems- stater. Det medför att inom EU är cybersäkerhetscertifiering av
I syfte att uppnå en hög nivå av cybersäkerhet, cyberresiliens och förtroende inom EU och sträva efter att säkerställa en väl fungerande inre marknad antogs den 17 april 2019 Europaparlamentets och rådets förordning (EU) 2019/881 om Enisa (Europeiska unionens cyber- säkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten). Cybersäkerhetsakten är en EU-
40
SOU 2020:58 |
Uppdraget |
förordning vars bestämmelser har direkt effekt och tillämpning i med- lemsstaten samt ger utrymme för medlemsstaten att besluta om kom- pletterande nationell lagstiftning och annan författningsreglering. EU:s cybersäkerhetsakt är uppdelad i två delar, där den första delen reglerar Enisa:s mandat och uppgifter i byråns arbete med att stärka informations- och cybersäkerheten i unionen och dess medlemsstater. Genom den andra delen av akten införs ett europeiskt ramverk för cybersäkerhetscertifiering som bl.a. ålägger medlemsstaterna att utse nationella myndigheter med ansvar för certifierings- och tillsyns- verksamheten samt i de nationella rättsordningarna införa sanktions- system och effektiva rättsmedel i syfte att säkerställa en ändamålsenlig och effektiv tillämpning av cybersäkerhetsakten i medlemsstaterna. Dessa bestämmelser i akten träder i kraft den 28 juni 2021.
2.2Uppdraget
Utredningens uppdrag i denna del av utredningsarbetet är att föreslå de anpassningar och kompletterande författningsbestämmelser som EU:s cybersäkerhetsakt ger anledning till på nationell nivå. Syftet är att säkerställa att den kompletterande nationella reglering som be- hövs finns på plats när cybersäkerhetsakten börjar tillämpas i sin hel- het den 28 juni 2021.
Utredningen ska bl.a.
–analysera om kompletterande bestämmelser behöver införas i den svenska regleringen när det gäller utfärdande av
–analysera om kompletterande bestämmelser behöver införas i den svenska regleringen för organ för bedömning av överensstämmelse,
–föreslå vilken befintlig nationell myndighet som ska få i uppdrag att ansvara för certifierings- respektive tillsynsverksamhet, och
–analysera och föreslå vilka övriga kompletterande nationella be- stämmelser, bl.a. vad avser handläggning av ärenden, effektiva rätts- medel och sanktioner, som cybersäkerhetsakten kräver eller Sverige bör införa.
41
Uppdraget |
SOU 2020:58 |
Utredningen ska i nästa fas av utredningsarbetet överväga om det finns anledning att införa krav på certifiering och godkännande av produkter, tjänster och processer inom nätverks- och informations- system som ska användas i säkerhetskänslig verksamhet. Arbetet i den delen ska redovisas i ett slutbetänkande under 2021.
Direktiven finns i sin helhet i bilagorna 1 och 2.
2.3Utgångspunkter
Utredningen kan konstatera att införandet av det europeiska ram- verket för cybersäkerhetscertifiering berör frågor och verksamheter som behandlas i 2015 års försvarsbeslut, Försvarsberedningens rap- porter och flera av de policy- och strategidokument och handlings- planer som antagits på nationell nivå för att stärka informations- och cybersäkerheten i samhället. Den nationella strategin för informations- och cybersäkerhet i samhället blir styrande för hur organisering och utformning av uppgifter och ansvarsområden på den nationella nivån kan ske och som behöver komplettera det europeiska ramverket för cybersäkerhetscertifiering.
Detta gäller särskilt frågorna om vilken myndighet som bör utses att vara nationell myndighet för cybersäkerhetscertifiering och hur systemet för tillsyn av efterlevnaden av cybersäkerhetsakten och europeiska ordningar för cybersäkerhetscertifiering bör organiseras och utformas. Det finns därför skäl att i detta sammanhang inled- ningsvis återge några av de principiella ställningstaganden som kom- mer till uttryck i de olika dokumenten på området och vad som anges i den av de berörda myndigheterna antagna handlingsplanen.
2015 års försvarsbeslut
I 2015 års försvarsbeslut (prop. 2014/15:109, bet. 2014/15:FöU11, rskr. 2014/15:251) fastslogs att den samlade svenska förmågan att förebygga, motverka och aktivt hantera konsekvenserna av civila och militära hot, händelser, attacker och angrepp i cybermiljön måste ut- vecklas och förstärkas. Grunden i en robust cyberförsvarsförmåga är att säkerställa funktionalitet i samhällsviktiga funktioner och att skydda den mest skyddsvärda verksamheten, inklusive sådana system som är vitala för totalförsvaret, mot antagonistiska angrepp från kva-
42
SOU 2020:58 |
Uppdraget |
lificerade aktörer. Ett svenskt cyberförsvar kräver samordning och koordinering av kompetenser, samt utpekade och övade beslutsvägar, mellan olika myndigheter och samhällsfunktioner. Det pågår stän- digt intrångsförsök mot internetanslutna system. Sårbarheter måste hanteras på både hård- och mjukvarusidan. Den som ansvarar för ett
Försvarsberedningens rapporter
Försvarsberedningen framhåller i sin delrapport Motståndskraft: Inriktningen av totalförsvaret och utformningen av det civila försvaret
Försvarsberedningen framhåller att en utvecklad förmåga på infor- mations- och cybersäkerhetsområdet, inklusive en god underrättelse- förmåga i den digitala miljön, ökar möjligheten att upprätthålla vår nationella suveränitet och aktivt bidrar med skydd för kritisk infra- struktur. Vidare konstaterar man att ett kontinuerligt och systematiskt arbete med informations- och cybersäkerhet spelar en avgörande roll
43
Uppdraget |
SOU 2020:58 |
för att samhällets aktörer ska kunna upprätthålla en väl avvägd cyber- förmåga i totalförsvaret.
Försvarsberedningen framhåller också att skyddsarbetet är ett gemensamt ansvar för hela samhället och måste bedrivas på central, regional och lokal nivå, hos myndigheter, företag och organisationer i Sverige. Den tekniska säkerheten behöver fortsatt stärkas samtidigt som hänsyn tas till att det i många fall är den mänskliga faktorn som ligger bakom incidenter eller utnyttjas vid angrepp. De åtgärder som vidtas för att exempelvis höja lägstanivån i informations- och cyber- säkerhetsarbetet anses hänga samman med arbetet att skydda sam- hället mot avsiktliga cyberattacker.
I Försvarsberedningens rapport Värnkraft: Inriktningen av säker- hetspolitiken och utformningen av det militära försvaret
Försvarsberedningen anser att Sveriges cyberförsvar med både defensiva och offensiva åtgärder ska kunna agera proaktivt för att upptäcka, få information om och hantera cyberintrång, olika former av cyberangrepp, en hotande cyberoperation, eller för att fastställa en cyberoperations ursprung. Cyberattacker och olika former av in- trång i
1Försvarsberedningen noterar att såväl EU som Nato slagit fast att ett cyberangrepp kan ut- lösa förpliktelser enligt artikel 42.7 i
44
SOU 2020:58 |
Uppdraget |
och statsunderstödda aktörer mot skyddsvärd verksamhet i Sverige eller mot svenska intressen i utlandet kan syfta till att tillskansa sig information om svenska ekonomiska intressen, företag, forskning, försvarsförmåga och planering, våra säkerhetspolitiska avsikter, sam- hällsviktig verksamhet och kritisk infrastruktur. Det kan också handla om att en motståndare vill vilseleda, binda begränsade resurser eller försvåra effektivt beslutsfattande inför ett väpnat angrepp och på det sättet försämra våra förutsättningar att sätta oss till motvärn. Redan i fredstid är beroendet av elförsörjning och elektroniska kommuni- kationer mycket stort i Sverige. Den långtgående digitaliseringen i samhället har möjliggjort avancerade välfärdstjänster som inte kom- mer att kunna upprätthållas under de störda förhållanden som kan komma att råda under en allvarlig säkerhetspolitisk kris eller i krig.
Nationell säkerhetsstrategi
2017 fattade regeringen beslut om en ny nationell säkerhetsstrategi för Sverige.2 I strategin, som var en utgångspunkt för att stärka Sveriges nationella säkerhet, framhålls att Sverige aktivt ska värna nationella intressen och försvara dem närhelst de riskerar att under- mineras, bl.a. vad avser hot och risker som finns på det informations- teknologiska området. För att bemästra utmaningarna inom infor- mations- och cybersäkerhetsområdet är det viktigt att fortlöpande arbeta för att minska sårbarheter. Detta är en uppgift för alla aktörer
isamhället. Förmågan att förebygga, identifiera och hantera
2Nationell säkerhetsstrategi, Statsrådsberedningen, januari 2017.
45
Uppdraget |
SOU 2020:58 |
Digitaliseringsstrategin
I digitaliseringsstrategin3 framhålls att förutsättningarna i Sverige ska vara de bästa för alla att på ett säkert sätt ta del av, ta ansvar för och ha tillit till det digitala samhället.
Nationell informations- och cybersäkerhetsstrateg
Iden nationella strategin för samhällets informations- och cyber- säkerhet4 framhålls att det finns ett stort behov av att utveckla sam- hällets informations- och cybersäkerhet. I strategin framhålls att ett strukturerat och riskbaserat arbete med informations- och cyber- säkerhet bidrar till att säkerställa den fortsatta digitaliseringen av samhället och samtidigt hävda Sveriges säkerhet och nationella in- tressen. Ett strukturerat och riskbaserat arbete med informations- och cybersäkerhet är också en viktig förutsättning för svensk tillväxt och konkurrenskraft, samt en nödvändighet för att näringslivet ska kunna utveckla och tillhandahålla konkurrenskraftiga varor och tjäns- ter. För att informationshantering och
I strategin framhålls att ett systematiskt informations- och cyber- säkerhetsarbete är nödvändigt för att samhällets aktörer ska kunna upprätthålla en väl avvägd nivå av informations- och cybersäkerhet, även om alla system för informations- och cybersäkerhet i samhället inte kan skyddas mot alla typer av hot och risker. Den tekniska säkerheten behöver därför fortsatt stärkas samtidigt som hänsyn måste tas till att det i många fall är den mänskliga faktorn som ligger bakom incidenter eller utnyttjas vid angrepp. Av den anledningen är det viktigt att även öka medvetenheten såväl som hanteringsförmå- gan hos alla användare av
3För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi, Regeringskansliet (dnr N2017/03643/D).
4Nationell strategi för samhällets informations- och cybersäkerhet, regeringens skr. 2016/17:213.
46
SOU 2020:58 |
Uppdraget |
ha kännedom om hot och risker, ta ansvar för sin informations- säkerhet och bedriva ett systematiskt informationssäkerhetsarbete. Vidare behöver förmågan att förebygga, upptäcka och hantera cyber- attacker- och andra
I strategin anges även att i syfte att få genomslag för strategins målsättningar ska det finnas en nationell modell till stöd för det systematiska informationssäkerhetsarbetet. I dagsläget bedriver de olika aktörerna i samhället sitt informationssäkerhetsarbete på delvis olika sätt, utifrån olika förutsättningar och behov, baserat på flera olika regelverk och delvis olika uppfattningar om hot och risker. Samma information kan få olika skydd i olika organisationer och kunskapen om vilket skydd som är lämpligt och tillgängligt för en viss typ av information är hos många aktörer ofullständig. När många aktörer är beroende av varandra i sin informationshantering är det dock nödvändigt med samordnade åtgärder för att reducera risker och behålla säkerhetsnivån. Aktörer som har en sämre informations- säkerhet kan äventyra säkerheten för övriga. Detta har betydelse för möjligheterna till en digitalt samverkande förvaltning, men även för den återupptagna planeringen för civilt försvar som är beroende av goda förutsättningar att dela känslig information inom statsförvaltningen.
I strategin anges att en nationell modell bedöms även kunna bidra till att aktörer gör mer enhetliga bedömningar av hot, risker och säker- hetsåtgärder och att likartade uppgifter och informationssystem hos olika verksamhetsutövare uppnår en adekvat och likartad skydds- nivå. Genom att de myndigheter som har ett särskilt ansvar på infor- mationssäkerhetsområdet, och de övriga myndigheter som t.ex. har föreskriftsrätt eller tillsyn på området, aktivt bidrar i arbetet med den nationella modellen kan den motverka fragmentering av styr- ningen och öka samverkan inom området. Genom att den nationella modellen ska bygga på erkända standarder, vara flexibel och skalbar kan verksamheter med olika förutsättningar dra nytta av modellen. Modellen bör i första steget inriktas mot statliga myndigheter, men utformas med målet att den ska kunna vara till nytta för hela den offentliga sektorn, andra organisationer och företag.
I strategin framhålls även vikten av samverkan och informations- delning inom och mellan berörda aktörer och att samverkan och in-
47
Uppdraget |
SOU 2020:58 |
formationsdelning på informations- och cybersäkerhetsområdet ska stärkas, bl.a. då informationssäkerhetens komplexitet, karaktär och snabba utvecklingstakt samt gränsöverskridande kräver en effektiv samverkan.
I strategin framhålls att samverkansgruppen för informations- säkerhet (SAMFI), som består av ett antal statliga myndigheter med särskilda uppgifter på informationssäkerhetsområdet, spelar en vik- tig roll genom att verka för säkra informationstillgångar i samhället.5 Vidare framhålls att på informations- och cybersäkerhetsområdet finns flera exempel på plattformar för
I strategin anges att det ska finnas en ändamålsenlig tillsyn som skapar förutsättningar för en ökad informations- och cybersäkerhet i samhället. En förutsättning för att reglerna på informationssäker- hetsområdet ska få det genomslag som är avsett är att det finns en tillsyn som kan utföras på ett ändamålsenligt och effektivt sätt. Vidare framhålls att ett flertal åtgärder behöver vidtas när det gäller tillsyn. I första hand behöver tillsynen av sådan verksamhet som om- fattas av samhällsviktig verksamhet inom de sektorer som pekas ut i
I SAMFI samarbetar myndigheter med av regeringen särskilt utpekat ansvar för informationssäkerhetsfrågor i samhället. Genom informa- tionsutbyte och samverkan stödjer deltagande myndigheter varand- ras arbete med samhällets informationssäkerhet.
Den samlade informations- och cybersäkerhetshandlingsplanen6 innehåller åtgärder som myndigheterna enskilt, tillsammans eller i samverkan med andra aktörer avser att vidta för att höja informations- och cybersäkerheten i samhället. Av 2020 års redovisning framgår
5I samverkansgruppen ingår Myndigheten för samhällsskydd och beredskap (MSB), Försvarets materielverk, Försvarets radioanstalt (FRA), Försvarsmakten, Polismyndigheten, Post- och Telestyrelsen (PTS) samt Säkerhetspolisen. MSB har det administrativa ansvaret för gruppen.
6MSB, FRA, FMV, Försvarsmakten, PTS, Polisen, Säkerhetspolisen (1 mars 2019): Samlad informations- och cybersäkerhetshandlingsplan för åren
48
SOU 2020:58 |
Uppdraget |
vilken myndighet som är ansvarig för respektive åtgärd, vilka som deltar i arbetet samt vad åtgärden omfattar. Åtgärderna i handlings- planen ligger inom ramen för de ansvarsområden och uppdrag som myndigheterna har. Handlingsplanen utgör dock inte någon samlad redovisning av alla de åtgärder som de olika myndigheterna avser att genomföra inom sina respektive verksamheter på informations- och cybersäkerhetsområdet. Samtliga åtgärder i handlingsplanen ansluter till någon eller några av de sex strategiska prioriteringar som reger- ingen beslutat i den nationella strategin för samhällets informations- och cybersäkerhet7. Huvuddelen av åtgärderna syftar till att
–säkerställa en systematisk och samlad ansats i arbetet med infor- mations- och cybersäkerhet,
–öka säkerheten i nätverk, produkter och system samt
–stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra
Nationellt cybersäkerhetscenter
FRA, Försvarsmakten, MSB och Säkerhetspolisen formaliserade under 2019 en fördjupad samverkan på informations- och cybersäkerhets- området (inom SAMFI). Denna fördjupade samverkan etablerades innan regeringen aviserade att ett cybersäkerhetscenter skulle inrät- tas 2020 och kan ses som ett ingångsvärde för regeringens uppdrag inför inrättandet av ett nationellt cybersäkerhetscenter.8
I september 2019 fick de fyra myndigheterna ett uppdrag av reger- ingen att förbereda ett inrättande av ett cybersäkerhetscenter samt ge förslag på hur ett sådant center skulle kunna utformas. Myndig- heterna lämnade en gemensam uppdragsredovisning till regeringen i december 2019 som underlag för inrättandet av ett cybersäkerhets- center. Arbetet har skett i nära samverkan med Polismyndigheten, FMV och PTS. Dessa tre myndigheter ingår sedan början av 2020 i överenskommelsen om en fördjupad myndighetssamverkan inom cybersäkerhet.
7Skr. 2016/17:213.
8Regeringsbeslut
49
Uppdraget |
SOU 2020:58 |
Ett nationellt cybersäkerhetscenter och en nationell modell för systematiskt informationssäkerhetsarbete är en ny åtgärd i den natio- nella handlingsplanen som bedöms kunna utveckla samhällets infor- mations- och cybersäkerhet. Som samverkansplattformar kan de även samla och samordna arbetet med många av åtgärderna.
Centret ska stärka Sveriges samlade förmåga att förebygga, upp- täcka och hantera antagonistiska cyberhot mot Sverige och minska sårbarheter. En tilltänkt fördel är att de i centret ingående myndig- heterna kan och bör dela information och kunskap så att respektive myndighet kan lösa sitt uppdrag på ett effektivare sätt.
Ett av centrets syften är att stödja aktörer inom offentlig och privat sektor. Därför har samverkansfrågor utgjort en central del i arbetet med uppdraget.
Myndigheterna har arbetat fram ett förslag på hur centret kan be- mannas och föreslår att centret ska byggas upp stegvis under
2.4Definitioner och avgränsning
Definitioner
Begreppen cybersäkerhet och informationssäkerhet förekommer i många olika sammanhang, såväl nationellt som internationellt. Ut- redningen kan samtidigt konstatera att begreppen förekommer i såväl olika författningar som i nationella styrdokument, handlings- planer och allmänna råd. Det finns enligt utredningens mening skäl för att begreppen i största möjliga utsträckning bör ges samma be- tydelse såväl nationellt som internationellt.
Det ska samtidigt noteras att EU:s cybersäkerhetsakt, som är en unionsrättslig författning som är direkt tillämplig i medlemsstaterna, innehåller definitioner av de olika begrepp som förekommer i akten, bl.a. cybersäkerhet och informationssäkerhet. Eftersom cybersäker- hetsakten är direkt tillämplig på nationell nivå bör förekommande begrepp ges samma innebörd och mening när de förekommer i den kompletterande nationella lagstiftningen. Den närmare innebörden av vissa begrepp och bestämmelser som förekommer i cybersäker- hetsakten och som berör effektiva rättsmedel, sanktioner och den nationella processordningen kan dock behöva anpassas till nationella förhållanden.
50
SOU 2020:58 |
Uppdraget |
Avgränsning av uppdraget
I EU:s cybersäkerhetsakt anges att regleringen inte påverkar med- lemsstaternas befogenheter i fråga om verksamhet som berör allmän säkerhet, försvar, nationell säkerhet och statens verksamhet på straff- rättens område. Utredningen bedömer samtidigt att många av de
En av utgångspunkterna för utredningens arbete har därför varit att i de analyser och de överväganden som gjorts i olika frågor även beakta hur utredningens ställningstaganden och förslag kan komma att beröra informations- och cybersäkerhet i bl.a. säkerhetskänslig verksamhet.
2.5Utredningsarbetet
Utredningen började sitt arbete i februari 2020. Utredningen har inledningsvis inhämtat underlag i form av offentliga utredningar, propositioner, faktapromemorior, nationella strategier, olika studier
m.m.Givet rådande omständigheter har arbetet i stor utsträckning kunnat bedrivas på sedvanligt sätt med sammanträden med sakkun- niga och experter, där bl.a. myndigheternas företrädare informerade och lämnade faktauppgifter i olika utredningsfrågor.
Utredningen har därutöver haft möten med berörda myndighets- ledningar för att informera sig om förutsättningar för dessa myndig- heter att kunna ansvara för en eller flera av de uppgifter och verksam- heter som utredningen har i uppdrag att analysera och lämna förslag om. Sekretariatet har haft enskilda möten med experter i utred- ningen i syfte att inhämta fördjupad kunskap inom vissa av de sak- områden som behandlas i uppdraget samt haft möten med privata aktörer med en nära koppling till området.
Utredningen har bedömt att det inte är nödvändigt att i delbetän- kandet närmare redogöra för den information som inhämtats från berörda myndigheter i andra länder då informationen inte kunnat kvalitetssäkras på sedvanligt sätt, bl.a. då besök hos berörda myndig- heter i dessa länder inte kunnat genomföras på grund av rådande
51
Uppdraget |
SOU 2020:58 |
pandemi. Informationen i de skriftliga underlagen präglas dessutom av viss osäkerhet då ingen av länderna fullt ut fastställt eller genom- fört åtgärder till stöd för införandet av EU:s cybersäkerhetsakt.
Utredningen har i enlighet med direktiven hållit sig informerad om arbetet med betänkandet Kompletteringar till den nya säkerhets- skyddslagen (SOU 2018:82).
Utredningen har löpande hållit företrädare för Försvarsdeparte- mentet informerade om utredningsarbetet.
2.6Delbetänkandets disposition
I detta kapitel presenteras uppdraget, utgångspunkter, definitioner, avgränsningar, utredningsarbetets genomförande samt betänkandets utformning.
I kapitel 3 redogörs för begreppet EU:s arbete med cybersäkerhet samt cybersäkerhet och standarder. I kapitel 4 lämnas en redogörelse för strukturen och bestämmelserna i EU:s cybersäkerhetsakt. I kapi- tel 5 beskrivs översiktligt den nationella ordningen för certifiering av
52
3 Cybersäkerhet
3.1Inledning
EU:s cyberekosystem är komplext och mångfacetterat. Det om- fattar ett stort antal inrikespolitiska områden såsom rättsliga och inrikes frågor, den digitala inre marknaden och forskningspolitik. Inom utrikespolitiken är cybersäkerhet viktigt för diplomatin och ämnet spelar en allt viktigare roll i EU:s framväxande försvarspolitik.
I detta kapitel lämnas en översiktlig beskrivning över EU:s stra- tegier och policy på cybersäkerhetsområdet. Vidare behandlas be- greppen cybersäkerhet och standardisering.
3.2EU:s strategier och policy på cybersäkerhetsområdet
Den digitala agendan för Europa (DAE)
Den digitala agendan för Europa (DAE) lades fram 2010 som en del av Europa
1Europa 2020 är EU:s gemensamma strategi för tillväxt och sysselsättning. Strategin har tre övergripande prioriteringar: smart tillväxt, hållbar tillväxt och tillväxt för alla. Kvantitativa mål på
2Meddelande från Kommissionen till Europaparlamentet, Rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén: En digital agenda för Europa, KOM(2010)245 slutlig,
53
Cybersäkerhet |
SOU 2020:58 |
EU:s cybersäkerhetsstrategi
Kommissionen antog 2013, tillsammans med den höga represen- tanten för utrikesfrågor och säkerhetspolitik, EU:s strategi för cyber- säkerhet: En öppen, säker och trygg cyberrymd. Strategin har en hel- hetssyn och omfattar såväl de civila aspekterna av cybersäkerhet som cyberförsvar till stöd för den gemensamma försvars- och säkerhets- politiken. Strategin anger huvuddragen av EU:s vision inom områ- det, förtydligar olika aktörers roller och ansvarsområden, samt pre- senterar de åtgärder som bör vidtas. Strategin syftar till att göra EU:s digitala miljö säkrast i världen, samtidigt som grundläggande värden och friheter försvaras.3 Det är huvudsakligen en uppgift för EU:s medlemsstater att arbeta med utmaningar inom cyberrymden, men särskilda åtgärder föreslogs som kunde förbättra unionens samlade insatser. Vidare presenterades strategiska prioriteringar och olika
Utifrån cyberfrågornas komplexitet, de många inblandade aktö- rerna och riskernas gränslösa natur föreslogs att cybersäkerhets- frågorna fördelas över tre skilda pelare: nätverks- och informations- säkerhet, upprätthållande av lag och ordning samt försvar. Vidare framhölls att medlemsländerna och kommissionen borde underrätta varandra om större cyberincidenter och
Strategin för cybersäkerhet har kommit att bli en hörnsten i EU:s politik, även om strategin formulerats brett och snarare ger uttryck för en vision än ett mätbart mål.4 Strategin är sammanlänkad med tre strategier som antagits senare, dvs. den europeiska säkerhetsagendan, strategin för den digitala inre marknaden samt den globala strategin för EU:s utrikes- och säkerhetspolitik.
EU:s policyramverk för cyberförsvar
Rådet antog 2014 ett ramverk för policy för cyberförsvar, vilket efter- frågats i cybersäkerhetsstrategin. I ramverket ges prioriteringar och olika
3Gemensamt meddelande från Europeiska kommissionen och Europeiska avdelningen för yttre åtgärder, EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd, JOIN(2013)
1slutlig,
4Europeiska kommissionen, Commision staff working document: Assessment of the EU 2013 cybersecurity strategy, SWD(2017) 295 final,
5Europeiska unionens råd, 2014, EU Cyber Defence Policy Framework.
54
SOU 2020:58 |
Cybersäkerhet |
förmågeutveckling för den gemensamma säkerhets- och försvars- politiken (GSFP). I takt med att cyberrymden under senare år blivit alltmer militariserad har den kommit att ses som det femte krig- föringsområdet. Cyberförsvar skyddar cyberrymdens system, nät- verk och kritiska infrastruktur mot angrepp med militära metoder eller andra slags metoder.
Strategi för en digital inre marknad (DSM)
Kommissionen antog 2015 en strategi för en digital inre marknad, vilket var en av åtgärderna i den digitala agendan (se ovan). Syftet med strategin för en digital inre marknad är att förbättra tillgången till digitala varor och tjänster genom att skapa rätt villkor för att maximera den digitala ekonomins tillväxtpotential.6 Kommissionen framhöll att den globala ekonomin snabbt blev alltmer digitaliserad och att IKT utgjorde ett fundament för moderna ekonomiska system. För att främja den europeiska digitala ekonomins tillväxt och för- bättra förutsättningarna för utvecklingen av digitala nät och tjänster bedömdes det finnas behov av samordnade åtgärder.
En säkerhetsagenda för Europa
Kommissionen antog 2015 en ny säkerhetsagenda för Europa (2015– 2020) som ersatte den tidigare interna säkerhetsstrategin. Den euro- peiska säkerhetsagendans mål är att förbättra brottsbekämpning och rättsliga åtgärder mot
6Meddelande från Kommissionen till Europaparlamentet, Rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén: En strategi för en inre digital marknad i Europa (COM(2015) 192 final),
7Europeiska kommissionen, Europeiska säkerhetsagendan, COM(2015) 185 final,
8Meddelande från kommissionen till Europaparlamentet, Rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén: En säkerhetsagenda för Europa (COM(2015) 185 final),
55
Cybersäkerhet |
SOU 2020:58 |
sätt, dvs. att policy och praktisk handling ska samordnas mellan alla relevanta
Rådets slutsatser om cyberdiplomati
Europeiska unionens råd presenterade under 2015 sina slutsatser om cyberdiplomati och konstaterade att frågor rörande cyberrymden stod för betydande möjligheter men också föränderliga utmaningar för EU:s utrikespolitik. Det handlade särskilt om cybersäkerhet, främ- jande och skydd av mänskliga rättigheter på internet, tillämpningen av befintlig internationell rätt, rättsstatsprincipen och uppförande- normer på internet, förvaltning av internet, den digitala ekonomin, cyberkapacitetsuppbyggnad samt strategiska relationer i cyberfrågor. Rådet ansåg att EU och dess medlemsstater borde hantera dessa över- gripande och mångfasetterade frågor genom en enhetlig internatio- nell politik för cyberrymden som främjade EU:s politiska, ekonomiska och strategiska intressen. En sådan politik borde enligt rådet bygga på befintliga policydokument. Man skulle också fortsätta dialogen med såväl viktiga internationella partners och organisationer som det civila samhället och den privata sektorn.9
På politisk nivå utvecklades därefter en ram för en gemensam diplomatisk respons (”Joint EU Diplomatic Response”) från EU mot offensiva cyberaktiviteter, den s.k. verktygslådan för cyber- diplomati.10 EU ska även stödja framtagningen av frivilliga, icke- bindande normer för ansvarsfullt agerande för stater i cyberrymden samt de regionala förtroendeskapande åtgärder (CBM) som OSSE arbetat fram. Dessa är avsedda att förstärka mellanstatligt samarbete, transparens, förutsägbarhet och stabilitet och minska risken att kon- flikter uppkommer p.g.a. användningen av IKT.
9Europeiska unionens råd, Rådets slutsatser som cyberdiplomati, 6122/15,
10Europeiska unionens råd, Slutsatser om en ram för en gemensam diplomatisk respons från EU mot skadlig
56
SOU 2020:58 |
Cybersäkerhet |
En global strategi för Europeiska unionens utrikes- och säkerhetspolitik
Den höga representanten för utrikesfrågor och säkerhetspolitik före- slog 2016 en global strategi för EU:s utrikes- och säkerhetspolitik (GUSP) Delade visioner, gemensamma åtgärder: Ett starkare Europa. Den globala strategin syftade till att främja EU:s roll i världen genom bl.a. ett förnyat åtagande avseende cybersäkerhetfrågor. Större stra- tegisk autonomi var ett mål. EU ska navigera vad som beskrivs som en svår och omstridd, sammankopplad och komplex värld.11 En av prioriteringarna är unionens säkerhet, vilket avseende cybersäkerhet bl.a. innebär att utveckla de teknologiska förmågorna för att öka resiliensen i kritisk infrastruktur, nätverk och tjänster, att utveckla innovativa
EU:s cybersäkerhetsinitiativ
EU har stärkt sina strategier på cyberområdet under de senaste åren genom att inkludera cybersäkerhet i politiska prioriteringar. Förtro- ende och säkerhet var kärnan i strategin för en digital inre marknad, medan kampen mot cyberbrott var en av de tre pelarna i den euro- peiska säkerhetsagendan. Efter att ha genomfört nämnda strategier presenterade kommissionen 2016 ytterligare åtgärder för att utöka cybersäkerhetsindustrin och hantera cyberhot. Vid sammanställningar avseende cybersäkerhetsarbete, där EU och den privata marknaden behövt arbeta tillsammans, har bl.a. certifiering identifieras som ett område. Man har i detta sammanhang sett behov av att motverka fragmenteringen p.g.a. skiftande nationella system samt förbättra effektiviteten i de som används.12
11Europeiska unionens råd 2016. Shared vision, Common action: A stronger Europe: A global strategy for the European Union’s Foreign and Security Policy.
12Europeiska kommissionen, Commission Staff Working Document, Contractual Public Partner- ship on Cybersecurity & Accompanying Measures, SWD(2016) 2016 final.
57
Cybersäkerhet |
SOU 2020:58 |
Stärka Europas system för cyberresiliens och främja
en konkurrenskraftig och innovativ cybersäkerhetsbransch
För att förverkliga cybersäkerhetsstrategin och strategin för en inre digital marknad antog kommissionen den 5 juli 2016 ett meddelande om stärkt motståndskraft i nätverk och informationssystem (cyber- resiliens). Kommissionen ansåg att skyddet mot cyberincidenter, trots många initiativ, fortfarande var otillräckligt, vilket kunde undergräva den digitala inre marknaden, det ekonomiska livet och samhällslivet i stort. Mot denna bakgrund åtog sig kommissionen att undersöka hur den föränderliga cybersäkerhetssituationen kunde mötas och analyserade vilka ytterligare åtgärder som behövdes för att öka EU:s cyberresiliens, förmåga att hantera incidenter och främja en kon- kurrenskraftig och innovativ cybersäkerhetsbransch i Europa. Åt- gärderna delades in i tre huvudområden:
–ett intensifierat samarbete för att stärka beredskapen och hantera cyberincidenter,
–utmaningar på Europas inre marknad för cybersäkerhet, och
–främjande av industriell kapacitet på cybersäkerhetsområdet.
Åtgärder för främjandet av den framväxande inre marknaden för cybersäkerhetsprodukter och
58
SOU 2020:58 |
Cybersäkerhet |
Gemensamt ramverk för att motverka hybridhot
2016 antog kommissionen ett gemensamt ramverk för att motverka hybridhot,13 baserat på bl.a. säkerhetsagendan, den globala strategin för utrikes- och säkerhetspolitik och cybersäkerhetsstrategin. Ramen inriktades på cyberhot mot både kritisk infrastruktur och privata användare och betonade att cyberangrepp kunde genomföras genom desinformationskampanjer på sociala medier.14 Inom ramen note- rades också behovet av att förbättra medvetenheten och samarbetet mellan EU och Nato, vilket specificerades i de gemensamma förklar- ingarna från EU och Nato 2016 och 2018.15
Resilience, Deterrence and Defence:
Building strong cybersecurity in Europe
Kommissionen lämnade i september 2017 en beskrivning över till- ståndet i unionen, ett s.k. state of the union, som specifikt behandlade cybersäkerhet.16 I ett gemensamt meddelande till Europaparlamen- tet och rådet beskrev kommissionen och unionens höga represen- tant för utrikes frågor och säkerhetspolitik att EU:s medborgare och privata sektor blivit alltmer beroende av digitala tjänster och tekno- logier, samtidigt som antalet cyberattacker ökat. För att möta denna situation föreslogs åtgärder på tre områden:17
–bygga upp EU:s resiliens mot cyberangrepp,
–skapa effektiva avskräckningsmedel mot cyberbrott, och
–stärka det internationella samarbetet om cybersäkerhet.
13Medlemsstaterna har huvudansvaret för att motverka hybridhot riktade mot den nationella nivån. Flera av EU:s medlemsstater står dock inför liknande hot, vilka dessutom kan vara riktade mot gränsöverskridande nätverk och infrastrukturer. Dessa hot bemöts mer effektivt genom ett samordnat svar från
14Europeiska kommissionen/Europeiska utrikestjänsten, Gemensam ram för att motverka hybridhot – Europeiska unionens insatser, JOIN(2016) 18 final,
15Gemensam förklaring från Europeiska rådets ordförande, Europeiska kommissionens ordförande och Nordatlantiska fördragsorganisationens generalsekreterare,
16Europeiska kommissionen 2017, State of the Union 2017, Cybersecurity.
17Europeiska kommissionen och unionens höga representant for utrikes frågor och säkerhets- politik, Gemensamt meddelande till Europaparlamentet och rådet, Resiliens, avskräckning och försvar: ett starkt cyberförsvar för EU (JOIN/2017/450 final),
59
Cybersäkerhet |
SOU 2020:58 |
Meddelandet inbegrep en uppdatering av strategin för cybersäkerhet från 2013. Under den första punkten föreslogs bl.a. en ny cybersäker- hetsmyndighet som skulle bygga på Enisa, men med ett starkare mandat, liksom en certifieringsram för cybersäkerhet på
Cybersecurity in the European Digital Single Market
Utifrån den kommande revisionen av EU:s cybersäkerhetsstrategi lämnade kommissionens mekanism för vetenskaplig rådgivning – dvs. högnivågruppen av vetenskapliga rådgivare – ett antal rekom- mendationer i mars 2017. De tio rekommendationerna riktade sig mot policynivån i EU med utgångspunkt i cybersäkerhet för den digitala inre marknaden.18 Gruppen gjorde också några observationer som inte direkt riktade sig till något politikområde. En avsåg förhål- landet att cyberhoten var komplexa, multidisciplinära och snabb- rörliga och att cybersäkerhet inte kunde ses som en väldefinierad vetenskaplig disciplin. En annan observation var att det fanns en obalans mellan ledtiderna för
18Europeiska kommissionen 2017, Cybersecurity in the European Digital Single Market, Scientific Advice Mechanism (SAM), High Level Group of Scientific Advisors, Scientific Opinion No. 2/2017, mars 2017.
60
SOU 2020:58 |
Cybersäkerhet |
Cybersäkerhetsstudie av Enisa
Enisa redogjorde i maj 2017 för en studie på uppdrag av Europa- parlamentet avseende cybersäkerhet i GSFP. Även här konstaterades att cybersäkerhet gick utöver GSFP och krävde samarbete för att hanteras. Vidare krävdes samordning mellan de många olika aktivi- teterna, tillika med internationella partners. Avseende internatio- nella insatser behövde man även kunna skydda tillgångar utanför EU:s gränser. Fem framtida alternativ identifierades, som inte ute- slöt varandra: fortsatt sammanhållna strategier och policys på EU- nivå, främjande av en ansvarsfull cyberkultur, utvecklat kunnande på området, förstärkning av regelverk och utvecklade standarder, orga- nisationer och förmågor. Dessa bröts ner i de tre lagren politiskt/ strategiskt, operativt och taktiskt/tekniskt.19
EU:s policy för cyberförsvar
Ramen för EU:s policy för cyberförsvar uppdaterades i novem- ber 2018. Uppdateringen behövdes för att EU skulle kunna hantera de föränderliga säkerhetsutmaningarna. I uppdateringen identifieras sex prioriteringar, inbegripet utveckling av cyberförsvarskapacitet samt skydd av kommunikations- och informationsnätverken för GSFP. Målet med den uppdaterade ramen var att ytterligare utveckla EU:s politik på området och tydligare definiera den miniminivå av cybersäkerhet och förtroende som ska uppnås utifrån tidigare EU- omfattande erfarenheter.20
19Europaparlamentet, 2017, Cybersecurity in the EU Common Security and Defence Policy (CSDP): Challenges and risks for the EU.
20Europeiska unionens råd, 2018, Ram för EU:s politik för
61
Cybersäkerhet |
SOU 2020:58 |
3.3EU:s aktörer inom cybersäkerhet
Inledning
Både civil infrastruktur och militär kapacitet är beroende av säkra digitala system. Det finns emellertid en global kompetensbrist inom cybersäkerhet.21 Inte minst i Europa är expertisen fragmenterad. EU är i stor utsträckning beroende av
Också organisationer i den privata sektorn, inbegripet industrin, internetförvaltningsorgan och den akademiska världen är partners inom och bidragsgivare till politisk utveckling och genomförande på cybersäkerhetsområdet. Bl.a. har ett avtalsbaserat
Medlemsstaterna kan ha ett stort ansvar för att hantera cyber- säkerhetsincidenter, men den gränsöverskridande karaktären med-
21Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet, Briefingdokument, mars 2019, s. 52.
22Jfr Regeringskansliet Faktapromemoria 2018/19:FPM11,
23Kommissionen, rådet och Europeiska utrikestjänsten ska 2020 presentera en rapport för den övergripande arbetsgruppen för cyberfrågor om styrning och de framsteg som gjorts när det gäller att klargöra och harmonisera styrningen av cybersäkerhet vid EU:s institutioner och byråer (Europeiska unionens råd, Handlingsplan för genomförandet av rådets slutsatser om det gemensamma meddelandet till Europaparlamentet och rådet: Resiliens, avskräckning och försvar: ett starkt cyberförsvar för EU, 15748/17,
24Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet, Briefingdokument, mars 2019, s. 35.
25Kommissionen föreslår att kompetenscentret, som ska utgöra en grund i europeisk säker- hetspolitik och bidra till ökad forskning och utveckling av cybersäkerhet i unionen, inrättas för perioden från den 1 januari 2021 till och med den 31 december 2029. Se kommissionens förslag till Europaparlamentets och rådets förordning om inrättande av Europeiska kompetens- centrumet för cybersäkerhet inom näringsliv, teknik och forskning och av nätverket av natio- nella samordningscentrum, COM(2018) 630 final,
62
SOU 2020:58 |
Cybersäkerhet |
för inte sällan att EU också behöver vara involverad i arbetet. Som tidigare berörts delar EU:s cybersäkerhetsstrategi upp i tre delområ- den: nätverks- och informationssäkerhet, brottsbekämpning och försvar, där olika aktörer tilldelas roller och ansvar. Då cybersäker- het berör många områden ligger ansvar, roller och utgifter spridda över flertalet aktörer och kräver samarbeten inom EU, med medlems- staterna och med privata aktörer.
Styrning av informations- och cybersäkerhet
Styrning av informationssäkerhet handlar om att upprätta strukturer och politik för att säkerställa konfidentialitet, integritet och tillgäng- lighet för data. Det är mer än en teknisk fråga. Styrning av cyber- säkerhet omfattar alla slags cyberrelaterade hot, inbegripet målinrik- tade, sofistikerade angrepp, överträdelser eller incidenter som är svåra att upptäcka eller åtgärda.
Modellerna för styrning av cybersäkerhet skiljer sig åt mellan EU:s medlemsstater. I tillgängliga studier dras slutsatsen att styr- ningen av cybersäkerhet kan stärkas för att främja det globala sam- fundets förmåga att hantera cyberangrepp och incidenter. Samtidigt är det omöjligt att förhindra alla angrepp. Viktiga utmaningar som måste tas itu med är därför snabb detektering och hantering, skydd av kritisk infrastruktur och kritiska samhällsfunktioner samt bättre utbyte och samordning avseende information mellan offentlig och privat sektor.26
Beslutsprocesser
Man kan dela in
26Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet, Briefingdokument, mars 2019, s. 52.
27Cini, Michelle &
63
Cybersäkerhet |
SOU 2020:58 |
gen, har EU tre skilda befogenheter. Inom somliga områden har EU ensamrätt att lagstifta. Inom andra har EU och medlemsländerna delad befogenhet, vilket innebär att medlemsländerna kan lagstifta i dessa frågor så länge EU inte redan gjort det. Det gäller exempelvis området frihet, säkerhet och rättvisa. Inom ytterligare andra områden, som civilskydd, har EU endast rätt att stödja, komplettera eller sam- ordna medlemsländernas åtgärder. EU ska dock ha rätt att fastställa och genomföra en gemensam utrikes- och säkerhetspolitik (GUSP), inklusive en gradvis utformning av en gemensam säkerhets- och för- svarspolitik (GSFP).28
Europeiska unionens råd, Europeiska rådet, Europaparlamentet och Europeiska kommissionen inriktar EU:s arbete och är därigenom betydelsefulla även för cybersäkerhetsarbetet.
Europeiska unionens råd (ministerrådet eller rådet) företräder medlemsländernas nationella intressen. Ministerrådet består av minist- rar från medlemsländernas respektive regeringar, beroende på vilken sakfråga som behandlas. Tillsammans med
Medlemsstaterna ansvarar först och främst för den egna cyber- säkerheten och agerar på
Europeiska rådet är stats- och regeringschefernas särskilda forum. Rådet framlägger visioner om
28EU:s makt varierar således mellan olika politikområden.
29Kenealy, Daniel et al (red). 2015. The European Union: How does it work?
30Europeiska unionens råd, EU cybersecurity roadmap, 8901/17,
64
SOU 2020:58 |
Cybersäkerhet |
nen. Europeiska rådets huvuduppgift är enligt tidigare att bestämma EU:s generella politiska riktning och prioriteringar, dvs. att fastställa EU:s politiska dagordning. Europeiska rådet antar slutsatser, där särskilda frågor av betydelse för EU och huvuddragen i särskilda åt- gärder som ska vidtas eller mål som ska uppnås anges.
Europeiska kommissionen är den största institutionen och före- träder det
Kommissionens olika generaldirektorat ansvarar för olika delar avseende cybersäkerhet. Generaldirektoratet för kommunikations- nät, innehåll och teknik (DG CONNECT) har det huvudsakliga ansvaret för cybersäkerhet som sådant, medan Generaldirektoratet för migration och inrikesfrågor (DG HOME) ansvarar för cyber- brottslighet. När det gäller investeringar (nationella och regionala) för att bidra till att EU når målen om smart och hållbar tillväxt utgör EU:s struktur- och investeringsfonder ett viktigt inslag. Det kan handla om forskning och innovation, stöd till små företag samt digi- tal teknik. Likaså har DG GROW ett ansvar för att främja cyber- säkerhetsindustri och underlätta företagens tillgång till finansierings- mekanismer.32
31Blomgren, Magnus & Bergman, Torbjörn (2005), EU och Sverige: Ett sammanlänkat statsskick.
32Arbetsgruppen för säkerhetsunionen (Security Union Task Force) inrättades för att spela en central roll i samordningen av kommissionens olika generaldirektorat i syfte att stödja säker- hetsunionens agenda. DG CONNECT är ordförande i arbetsgruppens underarbetsgrupp om cybersäkerhet.
65
Cybersäkerhet |
SOU 2020:58 |
Enisa
Enisa är ett av de viktigaste organen för EU:s cybersäkerhetspolitik. Byrån inrättades ursprungligen 2004 och dess mandat har förlängts vid ett antal tillfällen fram till 2019 när den genom cybersäkerhets- akten fick ett permanent mandat.33 Enisa har i uppdrag att utföra de uppgifter som den tilldelas genom EU:s cybersäkerhetsakt och andra unionsrättsakter på cybersäkerhetsområdet genom att bl.a. tillhanda- hålla rådgivning och expertis och fungera som unionens informations- och kunskapscentrum. Enisa bör skapa förtroende för den inre marknaden genom sin opartiskhet, högkvalitativa råd och ett kom- petent utförande av sina uppgifter i fullt samarbete med unionens institutioner, organ och byråer samt medlemsstaterna. Genom en uppsättning uppgifter fastställer cybersäkerhetsakten hur Enisa ska uppnå sina mål samtidigt som flexibilitet i verksamheten efter- strävas.34 Uppnående av målen förutsätter att Enisa samarbetar med berörda aktörer i EU.35
Enisa genomför bl.a. ett omfattande och kontinuerligt arbete för att kartlägga den generella hotbilden mot
För att höja den totala nivån av
När det gäller cyberrymden förespråkar EU:s cybersäkerhetsbyrå Enisa en strategi som sammanhängande hanterar olika behovsnivåer som rör cyberrymden (se nedan figur 3.1) Varje
33Aktuell cybersäkerhetsbyrå efterträder den byrå som inrättades genom förordning (EU) nr 526/2013.
34Skäl 17 och 20.
35Skäl 44 ff.
36Några av de risker som lyfts fram, utöver misstag och insiderhot, är missförstånd kring faktisk kravbild runt säkerhetsfunktioner, oklar ansvarsfördelning vid incidenter, bristande styrning av leverantörens underleverantörer samt bristande kompetens hos leverantörens personal.
37För en närmare beskrivning av Enisas mandat enligt cybersäkerhetsakten, se kapitel 4.
66
SOU 2020:58 |
Cybersäkerhet |
Figur 3.1 Enisas perspektiv på skyddsbehov i cyberrymden
DEMOKRATI OCH SKYDD
FÖR MÄNSKLIGA
RÄTTIGHETER
Cyberetik, cyberdemokrati,
EU:s kärnvärden
SKYDD FÖR GLOBAL STABILITET
Cybernormer, cyberdiplomati, cyberförsvar, cyberkrigföring
SKYDD FÖR DEN DIGITALA INRE MARKNADEN
Cyberattacker, cyberbrottslighet, cyberspionage,
cybersabotage
SKYDD FÖR KRITISKA TILLGÅNGAR
och vissa digitala tjänster
GRUNDLÄGGANDE SÄKERHETSESKYDD
Cyberhygien, säkerhet för internetanvändare
Källa: Enisa. Se ENISA overview of cybersecurity and related terminology, version 1, september 2017, s. 4. Figurens engelska text är översatt till svenska av utredningen.
Enisa framhåller att välgrundade och kontinuerliga hot- och risk- bedömningar är viktiga verktyg för både offentliga och privata orga- nisationer. Avsaknaden av standardiserade tillvägagångssätt för att klassificera och kartlägga cyberhot eller utföra riskbedömningar har inneburit en avsevärd variation av innehållet i bedömningarna, något som utgjort en utmaning för en konsekvent
Förslag till Europeiskt kompetenscentrum för cybersäkerhet39
2018 föreslog kommissionen att det skulle inrättas ett europeiskt kompetenscentrum för cybersäkerhet inom näringsliv, teknik och forskning samt ett nätverk av nationella samordningscentrum, vilket
38Europeiska ekonomiska och sociala kommittén, Cybersecurity: Ensuring awareness and resilience of the private sector across Europe in face of mounting cyber risks, mars 2018.
39En granskning som Europeiska revisionsrätten gjort visar att det på cybersäkerhetsområdet krävs en övergång till en resultatkultur med inbyggda utvärderingsmetoder för att säkerställa meningsfullt ansvarstagande och meningsfull utvärdering. Revisionsrätten konstaterade vidare att det fanns vissa luckor i lagstiftningen och att den befintliga lagstiftningen inte införlivats konsekvent av medlemsstaterna. Det kan göra det svårt att utnyttja lagstiftningen fullt ut. (Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet Briefingdokument, mars 2019, s. 52).
67
Cybersäkerhet |
SOU 2020:58 |
utgjorde en del av cybersäkerhetspaketet från 2017.40 Lagstiftnings- förslaget är särskilt utformat för att ta itu med fragmentering och dubbelarbete. En drivande faktor bakom nätverket av kompetens- centrum för cybersäkerhet och ett kompetenscentrum för forskning har varit att åtgärda de brister som
Europeiska utrikestjänsten
Europeiska utrikestjänsten (EEAS) har en ledande roll inom
För att stärka sin agenda när det gäller styrning av cyberrymden har EU formaliserat sex cyberpartnerskap41 i syfte att upprätta regel- bundna politiska dialoger som strävar efter att bygga tillit och gemen- samma samarbetsområden.
EU:s gemensamma enhet för hybridhot,42 som är en del av Euro- peiska utrikestjänsten, inrättades för att förbättra situationsmed- vetenheten och stödja EU:s strategiska beslutsfattande genom utbyte av analyser. Enheten har fokus på indikationer och varningar avse-
40Europeiska kommissionen, Förslag till Europaparlamentets och rådets förordning om inrättande av Europeiska kompetenscentrumet för cybersäkerhet inom näringsliv, teknik och forskning och av nätverket av nationella samordningscentrum, COM(2018) 630 final,
41USA, Kina, Japan, Sydkorea, Indien och Brasilien.
42EU:s gemensamma enhet för hybridhot inrättades 2016 inom Europeiska utrikestjänstens underrättelse- och lägescentral. Den tar emot och analyserar sekretessbelagd information och information från öppna källor från olika aktörer angående hybridhot.
68
SOU 2020:58 |
Cybersäkerhet |
ende hybridhot mellan EEAS, kommissionen (inklusive EU:s myn- digheter) och medlemsstaterna. I arbetet med analys av globala frågor beaktas cyberdomänen.43 Enheten måste dock, enligt Europeiska revisionsrätten, bredda sin expertis inom cybersäkerhet.44
Europeiska försvarsbyrån
Europeiska försvarsbyrån (EDA) strävar efter att utveckla
EDA driver också en serie cyberövningar för att koordinera han- teringen av cybersäkerhetsincidenter på politisk nivå och möjliga konsekvenser av en offensiv cyberattack.
Computer Emergency Response Team
EU:s Computer Emergency Response Team
43FOI Memo 6150, Initiativ avseende cybersäkerhet i EU,
44Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet, Briefingdokument, mars 2019, s. 35.
45Se allmänt om
69
Cybersäkerhet |
SOU 2020:58 |
Europols europeiska
European Cybercrime Center (EC3) inrättades 2013 inom Europol som ett resultat av EU:s interna säkerhetsstrategi. EC3 arbetar, till- sammans med cyberbrottlighetsenheten på DG HOME, med att stärka rättsväsendets svar på gränsöverskridande cyberbrottslig- heten inom EU. EC3 ska särskilt fokusera på tre typer av cyber- brottslighet: den utförd av organiserade kriminella grupper, den som medför allvarlig skada för offren (såsom barnpornografi) och den som påverkar kritisk infrastruktur och kritiska informationssystem inom EU.
EC3 har inrättat ett antal rådgivande grupper med aktörer från den privata sektorn, EU:s institutioner och byråer samt andra inter- nationella organisationer för att förbättra samarbetet genom nätver- kande och strategiskt underrättelseutbyte. De arbetar enligt planer i linje med målen för EU:s policycykel.46
3.4Samarbeten och nätverk
Inledning
Flera tvärgrupper inom EU och nätverk som inbegriper olika typer av aktörer har etablerats för att öka samsyn och stärka utvecklingen på cybersäkerhetsområdet.
I detta avsnitt beskrivs några av de samarbetsforum och nätverk som etablerats internt på
FoP on Cyber Issues/Horizontal Working Party on Cyber Issues
Implementeringen och uppföljning av relevanta strategier och frågor som berör EU:s internationella cyberpolitik har hanterats över- gripande i den tillfälliga arbetsgruppen inom rådet, Friends of the Presidency Group on Cyber Issues (Ordförandeskapets vängrupp för cyberfrågor). FoP tillsattes av Coreper (de ständiga representan- ternas kommitté) 2012 i syfte att förbättra det horisontella arbetet, öka medlemsstaternas insyn och stärka samordningen såväl internt
46Se www.europol.europa.eu/empact
70
SOU 2020:58 |
Cybersäkerhet |
som externt avseende cyberfrågor i vid mening. Gruppen skulle ut- göra ett strategiskt verktyg för unionens övergripande politiska mål på området. Under hösten 2013 fattades beslut om att utsträcka
Under 2016 bildades ”Horizontal Working Party on Cyber Issues”. Genom denna vill rådet säkerställa en plattform för att stödja ett sam- manhängande angreppssätt avseende cyberpolitiska frågor, genom att ge en översikt över de tvärgående frågorna, och därigenom und- vika fragmenterad policyutveckling och beslutsfattande. Gruppen ska vidare hjälpa till att identifiera EU:s cyberprioriteringar och stra- tegiska mål som en del av en omfattande politisk ram och stödja sam- arbete och samverkan, både inom rådet, mellan medlemsstater och mellan EU och medlemsstaterna. Gruppen arbetar bl.a. med ram- verket för en
NIS Cooperation Group
Genom
Computer Security Incident Response Team (CSIRT)
Vid en genomgång 2011 av medlemsländernas insatser för att skydda kritisk informationsinfrastruktur från
71
Cybersäkerhet |
SOU 2020:58 |
vecklas. Kommissionen behövde därför arbeta med medlemsländerna och den privata sektorn, på olika nivåer, för att upprätta CERT i resten av medlemsländerna och för EU:s institutioner och utveckla en europeisk beredskapsplan för
I
European Judicial Cybercrime Network (EJCN)
EU avser att underlätta för utredande myndigheter att få tillgång till krypterad information. Sommaren 2016 inrättade EU the European Judicial Cybercrime Network (EJCN) med målet att underlätta ut- byte av sakkunskap och bästa praxis, förbättra samarbetet mellan behöriga rättsliga myndigheter vid hanteringen av cyberrelaterad brottslighet och utredning, samt att främja dialog för att säkerställa rättssäkerhet i cyberrymden. EJCN ska samarbeta med Eurojust och Europol för att stärka internationellt rättsligt stöd och etablera ett bättre samarbete med internetleverantörer.
EU:s internationella samarbeten
EU har dialoger med externa parter såsom G7 och FN samt med länder utanför västvärlden. Detta avsnitt beskriver vilken typ av frågor man samarbetar kring i de mer utvecklade internationella sam- arbetena.
72
SOU 2020:58 |
Cybersäkerhet |
EU och Nato har samarbetat kring cybersäkerhetsfrågor sedan 2010, och sedan 2011 har NATO Computer Incident Response Capability (NCIRC) samarbetat med
Ijuli 2016 kom Europeiska rådet,
iövningar, inklusive framför allt Cyber Coalition och Cyber Europe.
2010 grundande EU och USA en arbetsgrupp för cybersäkerhet och cyberbrottslighet. Gemensamma intressen föranledde att man 2014 fördjupade samarbetet genom en s.k. cyberdialog, som förs av höga representanter från EU och USA. Dialogen erbjuder ett forum för strategiska diskussioner och samarbete gällande exempelvis inter-
73
Cybersäkerhet |
SOU 2020:58 |
nationella utvecklingar inom cyberrymden, främjande och skydd av de mänskliga rättigheterna online samt kapacitetsutveckling inom cyber i tredjeländer.
Samarbeten med näringslivet
EU:s cybersäkerhetsstrategi resulterade i bildandet av en offentlig- privat plattform för nätverks- och informationssäkerhet. Syftet var att sammanföra relevanta europeiska parter för att identifiera god cybersäkerhetspraxis över hela värdekedjan och skapa gynnsamma marknadsvillkor för utvecklandet och anammandet av säkra IKT- lösningar.
–riskhantering, vilket bl.a. innefattar arbete med medvetandehöj- ning, informationssäkring och riskmätning,
–informationsutbyte och samordning av incidenter, vilket bl.a. inne- fattar incidentrapportering och riskmätningar med avseende på informationsutbyte, och
–forskning och innovation för säker IKT.
Contractual Public Private Partnership on cybersecurity
För att kunna leverera i enlighet med strategierna om cybersäkerhet och den digitala inre marknaden (se avsnitt 3.2) initierades ett offent-
74
SOU 2020:58 |
Cybersäkerhet |
Slutmålet med partnerskapet är att stimulera den europeiska konkur- renskraften och bidra till att överbrygga fragmenteringen av cyber- säkerhetsmarknaden.
3.5Cybersäkerhet och standardisering
I detta avsnitt redogörs närmare för begreppen cybersäkerhet och standardisering.
Begreppet cybersäkerhet
Det finns ingen standardiserad, allmänt accepterad definition av cyber- säkerhet. I stort handlar det om alla typer av skydd och åtgärder som införs för att försvara informationssystem och deras användare mot obehörig åtkomst, angrepp och skada, för att säkerställa uppgifter- nas konfidentialitet, integritet och tillgänglighet.47 Det finns en något bredare definition av termen cybersäkerhet som omfattar även be- varande av spårbarhet, autenticitet, ansvarsskyldighet, oavvislighet och auktorisation hos information i cyberrymden.48
Cybersäkerhet inbegriper förebyggande, detektering och hanter- ing av samt återställning efter cyberincidenter. Incidenter kan vara planerade eller oplanerade och t.ex. omfatta oavsiktligt röjande av information, angrepp mot företag och kritisk infrastruktur, stöld av personuppgifter och till och med inblandning i demokratiska pro- cesser. Allt detta kan ha omfattande skadliga effekter på individer, organisationer och samhällen.
Som en term som används i
47I EU:s cybersäkerhetsakt definieras cybersäkerhet som ”all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra be- rörda personer mot cyberhot” (artikel 2.1). Se Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet, Briefingdokument, mars 2019, s. 7.
48SIS, Terminologi för informationssäkerhet, teknisk rapport
75
Cybersäkerhet |
SOU 2020:58 |
övergrepp mot barn online. Termen kan också omfatta desinforma- tionskampanjer för att påverka onlinedebatten och misstänkt in- blandning i val. Dessutom ser Europol ett samband mellan
Olika aktörer – inbegripet stater, kriminella grupper och ”hack- tivister” – anstiftar cyberincidenter med olika motiv som bakgrund. Konsekvenserna av dessa incidenter är kännbara på nationell, euro- peisk och till och med global nivå. Men internets immateriella och i stor utsträckning gränslösa natur samt de verktyg och den taktik som används gör det ofta svårt att identifiera gärningsmannen bakom ett angrepp (det s.k. tillskrivningsproblemet).
De olika typerna av cybersäkerhetshot kan klassificeras enligt hur uppgifterna påverkas – antingen genom röjande, ändring, förstörelse eller nekad åtkomst – eller enligt de grundläggande informations- säkerhetsprinciper som överträds. I takt med att angreppen mot in- formationssystem blir allt mer sofistikerade blir försvarsmekanis- merna mindre effektiva.50
Enligt Enisa behöver det inte finnas en definition av cybersäker- het i den konventionella bemärkelsen att vi tenderar att tillämpa definitioner för enkla saker som autentisering av en identitet. Pro- blemet är att cybersäkerhet är en omslutande term, och det är inte möjligt att skapa en definition som täcker omfattningen av de saker som begreppet täcker. Därför bör en kontextuell definition, baserad på en som är relevant, passande och som redan används av en viss standardiseringsorganisation eller annan berörd organisation över- vägas. T.ex. definieras cybersäkerhet vid International Telecommuni- cations Union (ITU) enligt följande.
Cybersecurity is the collection of tools, policies, security concepts, security safeguards, guidelines, risk management approaches, actions, training, best practices, assurance and technologies that can be used to protect the cyber environment and organization and user’s assets. Organization and user’s assets include connected computing devices, personnel, infrastructure, applications, services, telecommunications systems, and the totality of transmitted and/or stored information in the cyber environment. Cybersecurity strives to ensure the attainment and maintenance of the security properties of the organization and
49Europol, Internet Organised Crime Threat Assessment 2017.
50Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet Briefingdokument, mars 2019, s. 7 f. samt Europeiska cybersäkerhetsorganisationen (Ecso), Euro- pean Cybersecurity Industry Proposal for a contractual
76
SOU 2020:58 |
Cybersäkerhet |
user’s assets against relevant security risks in the cyber environment. The general security objectives comprise the following:
•Availability
•Integrity, which may include authenticity and
•Confidentiality.51
På grund av områdets bredd förekommer olika definitioner hos stan- dardiseringsorganisationer och andra organisationer.
I fråga om den närmare terminologin har Enisa rekommenderat följande.
Cybersecurity shall refer to security of cyberspace, where cyberspace itself refers to the set of links and relationships between objects that are accessible through a generalised telecommunications network, and to the set of objects themselves where they present interfaces allowing their remote control, remote access to data, or their participation in control actions within that Cyberspace. Cybersecurity shall therefore encompass the CIA paradigm for relationships and objects within cyberspace and extend that same CIA paradigm to address protection of privacy for legal entities (people and corporations), and to address resilience (recovery from attack).52
Enisa har även förklarat att cybersäkerhet innefattar alla aktiviteter som är nödvändiga för att skydda cyberrymden, dess användare och påverkade personer från cyberhot. Cybersäkerhet täcker alla aspek- ter av förebyggande, prognostisering, tolerans, detektering, begräns- ning, borttagning, analys och utredning av cyberincidenter53. Med tanke på de olika typerna av komponenter av cyberrymden anser Enisa att cybersäkerhet bör täcka följande attribut: tillgänglighet, tillförlitlighet, säkerhet, konfidentialitet, integritet, underhållbarhet (för fysiska system, information och nätverk), konfidentialitet, överlevnadsförmåga, resiliens (för att stödja dynamiken hos cyber- rymden), tillräknelighet, autenticitet och oavvislighet (för att stödja informationssäkerhet).54
51Definition of cybersecurity, referring to
52ENISA, Definition of Cybersecurity: Gaps and overlaps in standardization, v1.0, Decem- ber 2015, s. 30.
53Med cyberincident förstås varje händelse som påverkar någon av komponenterna i cyber- rymden eller dess funktion, oberoende av om det är naturligt eller mänskligt skapat, illvillig eller
54ENISA overview of cybersecurity and related terminology, version 1, September 2017, s. 6.
77
Cybersäkerhet |
SOU 2020:58 |
Enisa uppmuntrar standardiseringsorganisationer att anamma be- greppet cybersäkerhet som tillhandahållandet av säkerhetsfunktioner att tillämpas på cyberrymden. Skydd mot cyberhot avser mekanis- mer som syftar till att inrätta försvarsåtgärder som gör det möjligt att minska sannolikheten för manifestation av cyberhändelser eller attacker som kan härröra från återstående hot och som kan orsaka någon form av skador eller störningar i system eller deras kompo- nenter. Cyberförsvar är fakulteten för systemen att motstå sådana negativa händelser om och när de inträffar trots förebyggande och skyddsåtgärder. Detta innebär att man känner igen, svarar på och återhämtar sig från cyberhoten. Cyberresiliens innebär i vissa sam- manhang kombinationen av cybersäkerhet och cyberförsvar.
Cybersäkerhet kräver samarbete mellan offentlig och privat sek- tor, först och främst genom utbyte av information och bästa praxis. Tillit är avgörande på alla nivåer för att skapa rätt miljö för utbyte av känslig information över gränserna. Dålig samordning leder till frag- mentering, dubbelarbete och utspridd expertis. Ändamålsenlig sam- ordning kan leda till påtaglig framgång. Trots de framsteg som har gjorts under de senaste åren är tillitsnivåerna fortfarande otillräckliga på
EU:s institutioner och byråer har saknat gemensamma definitio- ner på cybersäkerhetsområdet. NIS Cooperation Group har emeller- tid utformat en relevant
Vidare har
55Europeiska kommissionen, Impact assessment, proposal for a regulations of the European parliament and of the Council establishing the European Cybersecurity Industrial, Techno- logy and Research Competence Centre and the Network of National Coordination Centres, SWD(2018) 403 final,
56Europeiska unionens råd, Slutrapport om den sjunde omgången av ömsesidiga utvärderingar om det praktiska genomförandet och verkan av europeisk politik för förebyggande och be- kämpning av
57NIS Cooperation Group, Cybersecurity Incident Taxonomy, CG Publication 04/2018, juli 2018.
58JRC:s tekniska rapporter, karta över europeiska cybersäkerhetsexpertcentrum: Definitioner och taxonomi. Impact Assessment on the proposed Research Competence Centre and the Network of National Coordination Centres, SWD(2018) 403 final,
78
SOU 2020:58 |
Cybersäkerhet |
Sammanfattning
Utredningen kan mot bakgrund av det ovan angivna konstatera att det förekommer olika defintioner av begreppet cybersäkerhet bland stratgi- och policydokument och berörda aktörer. Utredningen har uppdraget att analysera behovet av kompletterande nationella be- stämmelser med anledning av EU:s cybersäkerhetsakt och utgår följaktligen från den definition av cybersäkerhet som anges i cyber- säkerhetsakten, dvs. ”all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot”. Utredningen kan notera att denna definition beaktar den antagonistiska faktorn.59
Standarder
Inledning
Standardisering syftar till att förenkla för verksamheter i samhället. Bl.a. kan en effektiv marknad skapas när lagstiftningen sätter de över- gripande kraven av allmänt intresse och där standardisering skapar lösningar för en mer detaljerad nivå.60 Dessutom syftar en sådan metod till att undvika nationella särkrav. Standarder erbjuder verk- samheter möjligheter att arbeta utifrån beprövade erfarenheter, vilket också skapar förutsättningar för bättre säkerhet. Digitaliseringen och den snabba teknikutvecklingen leder till behov av nya standarder.61 För närvarande finns det begränsade
Standarder förutsätter ett samarbete och samförstånd mellan före- trädare för olika samhällsintressen. Standardisering avser att till- godose behov och önskemål från många olika parter och att så långt möjligt möta olika intressen. Standarder ökar också transparensen mellan organisationer, vilket underlättar kravställning och bedöm- ning av säkerhetsnivåer i produkter, system och hela verksamheter.
59Begreppet cybersäkerhet kan därmed användas på sådant sätt att det innefattar såväl skydd av nätverk och infrastrukturer som innehåller information, som skyddet av den information dessa innehåller.
60Standarder är frivilliga verktyg som ger hjälp att följa lagstiftningen.
61Jfr Europeiska kommissionen, Prioriteringar för informations- och kommunikationsteknisk standardisering på den digitala inre marknaden, COM(2016) 176 final,
62Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet, Briefingdokument, mars 2019.
79
Cybersäkerhet |
SOU 2020:58 |
Standarder är relevanta vid kontrollorgans arbete med cybersäker- hetscertifiering, särskilt då berörda organ för bedömning av överens- stämmelse ska uppfylla kraven i vanliga standarder för behövlig ackreditering.
Standardiseringsarbete med avseende på informationssäkerhet kopplat till ISO (International Organization for Standardization) har utvecklats till att omfatta flera arbetsgrupper med olika inrikt- ningar, däribland säkerhetsevaluering.
Standarder ska ge en lägsta skyddsnivå när det gäller väsentliga krav som fastställs i direktiv. Det ska också finnas möjlighet att be- strida en produkts överensstämmelse eller att kunna påtala fel eller brister hos de standarder som harmoniserats.
Nedan redogörs för ett urval av samarbeten inom europeisk cyber- säkerhetsstandardisering.
Common Criteria Recognition Arrangement (CCRA)
Den huvudsakliga utvecklingen av standarden Common Criteria (se nedan) som används inom cybersäkerhetscertifiering sker inom den internationella organisationen Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security, vanligen benämnd Common Criteria Recognition Arrange- ment (CCRA).
CCRA avser både en internationell överenskommelse och en samarbetsorganisation för ömsesidigt erkännande av certifikat. Sam- arbetsorganisationen har formats av de länder som signerat CCRA- överenskommelsen. Ett övergripande mål med samarbetet är att granskning av
CCRA verkar således för att öka antalet säkra
80
SOU 2020:58 |
Cybersäkerhet |
en situation där
För närvarande är 31 nationer medlemmar i CCRA. Av dessa är
17 länder (däribland Sverige) utfärdare av certifikat inom CC. Sveriges Certifieringsorgan för
signatär för Sverige i CCRA. Signatärskapet innebär bl.a. att CSEC avger Sveriges röst i samband med att nya länder söker medlemskap i CCRA.
Standarden Common Criteria (CC)
Common Criteria (CC) är en internationellt erkänd standard med standardbeteckningen ISO/IEC IS 15408 innehållande evaluerings- kriterier för
CChar utvecklats i nära samarbete mellan flera länders säkerhets- myndigheter och anses många gånger vara obligatoriskt för
CC fokuserar på det behov av it- och informationssäkerhet som uppstår på grund av avsiktliga eller oavsiktliga hot utgående från krav på sekretess, riktighet och tillgänglighet. Säkerheten hos
63Evalueringskrav finns fördefinierade enligt sju assuransnivåer (EAL 1 till 7).
64Till en början handlande skapandet av en standard för granskning av
65
81
Cybersäkerhet |
SOU 2020:58 |
för att uppnå fullgod
CCär således ett ramverk som används vid kravställning och ut- värdering av produkters
Kraven på säkerhet ställs utifrån två aspekter:68
–Säkerhetsegenskaper – vilka säkerhetsegenskaper behövs för att möta de potentiella hoten?
–Assuranskrav – hur noggrant bör säkerhetsegenskaperna evalueras?
CC för evaluering av
–en introduktion till metoden och allmän modell (del 1),
–funktionella säkerhetskomponenter (del 2), och
–assuranskrav (del 3).
Säkerheten verifieras i de ovan nämnda skyddsprofilerna, PP, och i ST beskrivs närmare vilka tillgångar som ska skyddas, vilka hot som man ska kunna stå emot och vilken förmåga en tänkbar angripare har att göra ett angrepp.69
Nästa del i CC är ett stöd i arbetet att välja bra säkerhetsfunk- tioner. Den delen är en katalog av väldefinierade funktioner. Det är små delkrav som leverantören lägger in i sin ST. När listningen är färdig är det dags för produkten att verifieras. Del 3 av CC är ett brett utbud av granskningsåtgärder som man kan genomföra för att verifiera säkerheten.
66Synpunkt från FOI
67Standarden reglerar inte vem som sätter kraven.
68CC ställer inte några egna krav på
69Om det är en avancerad angripare som man vill skydda sig mot ställer CC mycket höga krav på designen. Produkten utsätts då också för fler och mer omfattande penetrationstester. Stan- darden anpassar sig alltså till det anspråk på säkerhetsnivå som leverantörer gör.
82
SOU 2020:58 |
Cybersäkerhet |
Ett evalueringsföretag (It Security Evaluation Facility, ITSEF) testar och verifierar produkten mot de krav som ställts. Evaluerings- företaget är licensierat av certifieringsorganet och oberoende av leve- rantören.70 Evalueringsföretaget rapporterar till certifieringsorganet som därefter lämnar en certifieringsrapport.71
Europeisk samverkan –
Senior Officials Group Information Systems Security
Deltagare i
Medlemmarna arbetar tillsammans för:
–att koordinera standardiseringen av
–att koordinera utvecklingen av skyddsprofiler när
70I Sverige finns för närvarande två licensierade evalueringsföretag som utför sådana testningar: Combitech och Atsec.
71Certifieringsprocessen beskrivs även i kapitel 5.
72
73Av dessa är sju (Frankrike, Tyskland, Italien, Nederländerna, Norge, Spanien och Sverige) certifikatutgivare.
83
Cybersäkerhet |
SOU 2020:58 |
Standardiseringsorganisationer
I den av CSCG publicerade vitboken Recommendations for a Strategy on European Cybersecurity Standardisation ges rekommen- dationer om digital säkerhet som en väsentlig tillgång för digital suveränitet och ett digitalt samhälle. Rekommendationerna under- stryker vikten av standardisering av cybersäkerhet för att fullborda den europeiska inre marknaden och höja nivån av cybersäkerhet i Europa generellt. Gruppen har för övrigt bl.a. rekommenderat att kommissionen bör etablera en tydlig och gemensam förståelse för omfattningen och innebörden av begreppet cybersäkerhet i EU.
Därutöver finns ett flertal andra organisationer som är delaktiga i standardiseringsaktiviteter relaterade till cybersäkerhet. Den euro- peiska standardiseringsorganisationen CEN är en oberoende och
74Information Technology Security Evaluation Criteria (ITSEC) från 1990 är en uppsättning kriterier för
84
SOU 2020:58 |
Cybersäkerhet |
Standardisering till stöd för cybersäkerhetscertifiering
För att stödja skapandet av certifieringsordningar inom det euro- peiska ramverket för cybersäkerhetscertifiering är standardiserings- organens roll viktig.75 Standardiseringsorganisationerna kommer att tillhandahålla nödvändiga standarder till stöd för den ram som ska definieras av Enisa på begäran av kommissionen.
När det gäller standardiseringsaktiviteter har Enisa, utöver förbätt- ringar av diverse samarbeten, bl.a. rekommenderat att standardiser- ingsorganisationer företrädesvis väljer att använda redan befintliga internationella standarder om sådana finns på det specifika området och att ISO/IEC JTC1/SC27 bör betraktas som den första referen- sen för cybersäkerhetsstandardisering.76
Standardernas typsika roll i evaluerings- och certifieringsprocessen avseende IKT illustreras i figuren nedan.
Figur 3.2 Standarders roll i cybersäkerhetscertifieringsprocessen
|
|
|
|
Teknisk specifikation |
Bas för |
|
|
|||
|
|
Tillämpning |
||||||||
Standarder |
för en typ av |
|||||||||
|
|
|
|
|
||||||
|
|
|
|
produkt/tjänst |
|
|
|
|||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Föremål för certifiering |
|
|
|
|
|
|
|
Grund för anspråk på |
|
|
|
|
|
|
|||
|
|
|
|
Föremål för certifiering |
|
|||||
|
|
och/eller underlag för anspråk |
|
|
||||||
|
överensstämmelse |
|
|
|
||||||
|
|
på överensstämmelse |
|
|
|
|
|
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
Certifiering
Källa: Enisa. Utredningen har översatt texten i originalfiguren till svenska.
Enisa har en viktig roll när det gäller skapandet av en harmoniserad ram för att utveckla standarder på lämplig nivå. Enisa rekommenderar bl.a. att EU:s löpande arbetsprogram för standardisering anpassas till unionens löpande arbetsprogram för europeisk cybersäkerhetscerti- fiering så att standardiseringsorganisationerna kan tillhandahålla lämp- liga standarder för certifieringsordningarna. Enisa föreslår vidare att
75I t.ex. artikel 54.1 c i EU:s cybersäkerhetsakt anges att en europeisk ordning för cybersäker- hetscertifiering ska innehålla en hänvisning till standarder som följts vid utvärderingen, om lämpliga sådana finns.
76ENISA, Standardisation in support of the cybersecurity certification, December 2019, s. 23 f.
85
Cybersäkerhet |
SOU 2020:58 |
horisontella standarder (multisektoriella) för cybersäkerhet ska privi- legieras i utvärderingen av cybersäkerhet. Man invänder även mot konkurrens mellan standardiseringsorganisationer och förespråkar i stället bättre samarbete mellan inblandade aktörer. När en inter- nationell standard finns inom ett specifikt område och täcker en måldomän – åtminstone delvis – måste den enligt Enisa väljas i första hand. Enisa har även presenterat vissa konkreta förslag på vilka standarder som bör användas vid cybersäkerhetsstandardisering och
77ENISA, Standardisation in support of the cybersecurity certification, December 2019.
86
4 EU:s cybersäkerhetsakt
4.1Inledning
Det europeiska ramverket för cybersäkerhetscertifiering utgörs av EU:s cybersäkerhetsakt och de europeiska ordningar för cybersäker- hetscertifiering som ska antas (genomförandeakter).
I detta kapitel lämnas en närmare redogörelse för strukturen och bestämmelserna i EU:s cybersäkerhetsakt och vad som anges om innehållet i en europeisk ordning för cybersäkerhetscertifiering.
4.2Bakgrund
Det internationella samfundets förmåga att hantera och begränsa cyberangrepp har påverkats av att det inte finns något internationellt ramverk för styrning av cybersäkerhet. Försöken att upprätta bindande internationella cyberrymdsstandarder har präglats av spänningar.1 EU har etablerat ett antal strategiska partnerskap2 på cybersäkerhets- området för att kunna föra regelbundna politiska diskussioner i syfte att bygga tillit och gemensamma samarbetsområden. Resultaten har varit blandade då EU inte setts som en stor aktör inom cybersäker- het i det internationella samfundet.3 EU:s förmåga att hantera cyber- angrepp på politisk och operativ nivå vid en storskalig, gränsöver- skridande incident har ansetts som begränsad, bl.a. på grund av att cybersäkerhet inte integrerats i befintliga samordningsmekanismer
1Vilket sågs bl.a. i bristen på samförstånd i
2Med USA, Kina, Japan, Sydkorea, Indien och Brasilien.
3Europeiska säkerhets- och försvarsakademin (T. Renard och A. Barrinha), Handbook on cyber security, kap. 3.4 The EU as a partner in cyber diplomacy and defence,
87
EU:s cybersäkerhetsakt |
SOU 2020:58 |
för krishantering på
Under 2016 presenterade
Europeiska unionens råd noterade att det krävdes ett fortsatt och närmare samarbete för att skydda EU mot cyberhoten, särskilt vad gällde att hantera gränsöverskridande storskaliga cybersäkerhetsinci- denter. Vidare noterades att de cyberrelaterade hoten och sårbar- heterna fortsatte att utvecklas och intensifieras. I slutsatserna be- kräftades att
4Samarbetet kring tidiga varningar och ömsesidigt bistånd kräver också ytterligare utveckling, se Rådets slutsatser om EU:s samordnade insatser vid storskaliga cyberincidenter och cyber- kriser, 10085/18,
5Meddelande från Kommissionen till Europaparlamentet, Rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén (KOM(2016) 410 slutlig): Stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch.
6Det har funnits meningsskiljaktighet mellan stater om hur befintliga regler i internationell rätt ska gälla för staters användning av informations- och kommunikationsteknik (UNIDIR, The United Nations, Cyberspace and International Peace and Security, Responding to Com- plexity in the 21st Century, 2017, s. 2).
7Europaparlamentets och rådets förordning (EU) nr 526/2013 om Europeiska unionens byrå för nät- och informationssäkerhet (Enisa) och om upphävande av förordning.
8Rådets slutsatser om att stärka Europas system för cyberresiliens och främja en konkurrens- kraftig och innovativ cybersäkerhetsbransch – den 15 november 2016.
88
SOU 2020:58 |
EU:s cybersäkerhetsakt |
för den digitala inre marknaden att den senast i september 2017 skulle se över Enisas mandat för att definiera dess roll i det förändrade cybersäkerhetslandskapet och ta fram förslag på standarder, certi- fiering och märkning på cybersäkerhetsområdet i syfte att öka cyber- säkerheten hos
Den 4 oktober 2017 presenterade kommissionen ett förslag till en förordning om Enisa, ”EU:s cybersäkerhetsbyrå”, och om cyber- säkerhetscertifiering av informations- och kommunikationsteknik (”cybersäkerhetsakten”).10 Syftet med förslaget var att
–öka medlemsstaternas och företagens kapacitet och beredskap,
–förbättra samarbetet och samordningen mellan medlemsstaterna och EU:s institutioner, byråer och organ,
–öka EU:s förmåga att komplettera medlemsstaternas åtgärder, i synnerhet när det gäller gränsöverskridande cyberkriser,
–öka allmänhetens och företagens medvetenhet om cybersäkerhets- frågor,
–öka den övergripande transparensen i fråga om assuransnivån för cybersäkerhet hos
–undvika splittring av certifieringssystemen i EU och av de tillhö- rande säkerhetskraven och utvärderingskriterierna i de olika med- lemsstaterna och sektorerna.
Den föreslagna reformen av Enisa, som förutsågs få en större opera- tiv roll i hantering av storskaliga cybersäkerhetsincidenter, stöddes inte av medlemsstaterna, som hellre såg att byråns roll skulle stödja och komplettera deras egna operativa åtgärder.11
9Meddelande från Kommissionen om halvtidsöversynen av genomförandet av strategin för den digitala inre marknaden, COM(2017) 228 final.
10Europaparlamentets och rådets förordning (EU) 2019/881 om Enisa (Europeiska unionens cybersäkerhetsbyrå och) och om cybersäkerhetscertifiering av informations- och kommuni- kationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).
11Europaparlamentets utredningstjänst, Briefing EU Legislation in Progress: ENISA and a new cybersecurity act, PE 614.643, september 2018. Det finns redan många CERT/CSIRT- enheter på medlemsstatsnivå, men deras kapaciteter varierar avsevärt.
89
EU:s cybersäkerhetsakt |
SOU 2020:58 |
4.3EU:s cybersäkerhetsakt
4.3.1Syfte och tillämpningsområde
Den 17 april 2019 antogs Europaparlamentets och rådets förordning (EU) 2019/881 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommuni- kationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten). EU:s cybersäkerhetsakt började tillämpas direkt med undantag för vissa artiklar som kräver kompletterande bestämmelser på nationell nivå och som därför ska börja tillämpas först den 28 juni 2021. Det huvudsakliga syftet med cybersäkerhets- akten är att säkerställa en väl fungerande inre marknad och samtidigt sträva efter att uppnå en hög nivå i fråga om cybersäkerhet, cyber- resiliens och förtroende inom unionen.
Det europeiska ramverket för cybersäkerhetscertifiering är avsett att bl.a. ge följande fördelar för företag och enskilda:12
–cybersäkerhetsakten ska stödja och underlätta utvecklingen av en europeisk cybersäkerhetspolitik genom att harmonisera villkoren och de materiella kraven för cybersäkerhetscertifiering av IKT- produkter och
–europeiska ordningar för cybersäkerhetscertifiering ska hänvisa till gemensamma standarder eller kriterier för utvärderings- och test- metoder, vilket bidrar till användningen av gemensamma säkerhets- lösningar i EU och undanröjer hinder för den inre marknaden,
–cybersäkerhetsakten ska stödja och komplettera genomförandet av
–de europeiska ordningarna för cybersäkerhetscertifiering ska ha företräde framför de nationella systemen och ersätter befintliga parallella nationella ordningar avseende samma
12Se motiveringen i kommissionens förslag till cybersäkerhetsakten, COM (2017)477 final, s. 13.
90
SOU 2020:58 |
EU:s cybersäkerhetsakt |
–företag ska bara behöva certifiera produkten en gång, och certi- fikat som utfärdas enligt de europeiska ordningarna ska gälla i alla medlemsstater,
–företag ska få en kontaktpunkt för cybersäkerhetscertifiering inom EU, och
–en produkt eller tjänst ska – beroende på cybersäkerhetsbehov – certifieras enligt en högre eller lägre nivå av säkerhet.
EU:s cybersäkerhetsakt finns intagen som bilaga till delbetänkandet.
Enisas roll och uppgifter
Artiklarna
Ett övergripande europeiskt ramverk för cybersäkerhetscertifiering
I artiklarna
13Europeiska kommissionen, Study on the Evaluation of the European Union Agency for Network and Information Security, Final Report, 2017.
14Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet, Briefingdokument, mars 2019, s. 41, och skäl 20 i EU:s cybersäkerhetsakt.
15Med sådana produkter, tjänster och processer avses delar, eller en grupp av delar, i nätverks- och informationssystem, tjänster som helt eller huvudsakligen består i överföring, lagring, hämtning eller behandling av information via nätverks- och informationssystem och verksam-
91
EU:s cybersäkerhetsakt |
SOU 2020:58 |
EU:s cybersäkerhetsakt inför en möjlighet för tillverkare och leverantörer att upprätta en s.k.
En
I skäl 71 anges att de europeiska ordningarna för cybersäkerhets- certifiering bör bygga på vad som redan existerar på internationell och nationell nivå och, om så krävs, på tekniska specifikationer från forum och konsortier. I ordningarna ska befintliga standarder användas i för- hållande till de tekniska kraven och utvärderingsförfaranden som pro- dukterna måste uppfylla. Inga egna tekniska standarder bör utvecklas.17
IEU:s cybersäkerhetsakt anges att certifieringsordningar som drivs av industrin eller andra privata organisationer inte bör ingå i cyber- säkerhetsaktens tillämpningsområde.18
Cybersäkerhetsakten ska inte påverka tillämpningen av unions- rätt som innehåller särskilda bestämmelser om certifiering av IKT- produkter,
heter som utförs för att utforma, utveckla, tillhandahålla eller underhålla en
16Skäl 93 och 95.
17När det gäller europeiska standarder ombesörjs detta av de europeiska standardiseringsorga- nisationerna, och det godkänns av Europeiska kommissionen genom offentliggörande i Euro- peiska unionens officiella tidning (se förordning (EU) nr 1025/2012).
18Skäl 73.
19Skäl 74 och artikel 1 andra stycket.
92
SOU 2020:58 |
EU:s cybersäkerhetsakt |
Cybersäkerhetsakten ska inte heller påverka medlemsstaternas befogenheter i fråga om verksamhet som berör allmän säkerhet, för- svar, nationell säkerhet och statens verksamhet på straffrättens om- råde (artikel 2).
Cybersäkerhetscertifiering kan vara en kostsam process, vilket i sin tur kan leda till högre priser för kunder och konsumenter. Be- hovet av certifiering kan också variera beroende på i vilket samman- hanget produkterna och tjänsterna ska användas och den snabba tekniska utvecklingen. Därför bör det – enligt cybersäkerhetsakten
–även fortsättningsvis vara frivilligt att använda en europeisk cyber- säkerhetscertifiering, om inte annat föreskrivs i unionsrätten eller medlemsstaternas nationella rätt som antagits i enlighet med unions- rätten. På vissa områden kan det bli nödvändigt att i framtiden införa särskilda krav på cybersäkerhet och göra cybersäkerhetscertifiering obligatorisk för vissa
Kommissionen ska med jämna mellanrum följa upp vilka effekter antagna europeiska ordningar för cybersäkerhetscertifiering har på tillgången till säkra
I avsaknad av harmoniserad unionsrätt får medlemsstaterna införa nationella tekniska föreskrifter som föreskriver obligatorisk certi- fiering inom ramen för en europeisk ordning för cybersäkerhets- certifiering i enlighet med Europaparlamentets och rådets direktiv (EU) 2015/1535 om ett informationsförfarande beträffande tek- niska föreskrifter och beträffande föreskrifter för informationssam- hällets tjänster.
20Skäl 92.
21Skäl 92.
93
EU:s cybersäkerhetsakt |
SOU 2020:58 |
Medlemsstaterna får även använda europeisk cybersäkerhetscerti- fiering i samband med offentlig upphandling och inom ramen för Europaparlamentets och rådets direktiv 2014/24/EU om offentlig upphandling.22
I syfte att säkerställa en harmonisering och undvika fragmenter- ing kommer nationella ordningar eller förfaranden för certifiering av
Medlemsstaterna får inte heller införa nya nationella ordningar för cybersäkerhetscertifiering av
4.3.2Artiklar i EU:s cybersäkerhetsakt
I detta avsnitt lämnas en översiktlig redogörelse för de artiklar i EU:s cybersäkerhetsakt som berör utredningens uppdrag.
Europeiskt ramverk för cybersäkerhetscertifiering
I artikel 46 anges att europeiskt ramverk för cybersäkerhetscertifier- ing ska inrättas för att förbättra förutsättningarna för den inre mark- nadens funktion genom att höja cybersäkerhetsnivån i unionen och möjliggöra en harmoniserad strategi på unionsnivå för europeiska ordningar för cybersäkerhetscertifiering i syfte att skapa en digital inre marknad för
22Se motiveringen i förslaget till cybersäkerhetsakten, COM (2017) 477, s. 12. Jfr även skäl 91, artikel 1 andra stycket och artikel 57 i cybersäkerhetsakten.
23Skäl 94.
24Skäl 94.
94
SOU 2020:58 |
EU:s cybersäkerhetsakt |
Unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering
I artikel 47 anges att kommissionen ska offentliggöra unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering (nedan kallat unionens löpande arbetsprogram) i vilket strategiska prioriteringar ska fastställas för framtida europeiska ordningar för cybersäkerhets- certifiering. I unionens löpande arbetsprogram ska det särskilt ingå en förteckning över
Begäran om en europeisk ordning för cybersäkerhetscertifiering
Enligt artikel 48 får kommissionen begära att Enisa utarbetar ett för- slag till certifieringsordning eller ser över en befintlig europeisk ord- ning för cybersäkerhetscertifiering på grundval av unionens löpande arbetsprogram. I motiverade fall får kommissionen eller europeiska gruppen för cybersäkerhetscertifiering begära att Enisa utarbetar ett förslag till certifieringsordning eller ser över en befintlig europeisk ordning för cybersäkerhetscertifiering som inte ingår i unionens löpande arbetsprogram (se avsnitt 13.2.1).
Utarbetande, antagande och översyn av en europeisk ordning för cybersäkerhetscertifiering
I artikel 49 anges att efter en begäran från kommissionen i enlighet med artikel 48 ska Enisa utarbeta ett förslag till certifieringsordning som uppfyller de krav som anges i artiklarna 51, 52 och 54. Efter en begäran från europeiska gruppen för cybersäkerhetscertifiering i en- lighet med artikel 48.2 får Enisa utarbeta ett förslag till certifierings- ordning som uppfyller de krav som anges i artiklarna 51, 52 och 54. Figuren nedan illustrerar förfarandet för framtagande av de euro- peiska ordningarna för cybersäkerhetscertifiering.
95
96
Figur 4.1 |
Europeiska certifieringsordningar |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Group |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Advice |
|
|
|
|
|
|
|
|
|
|
||
Working |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ENISA to consult all relevant |
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
stakeholders by means of formal, |
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
open, transparent and inclusive |
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
consultation processes |
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Request for a European |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
Cybersecurity |
|
|
|
|
|
|
|
Final Candidate |
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Certification Scheme |
Draft |
|
|
|
Scheme |
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Candidate |
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Candidate |
|
|
|
|
||||||||
ENISA |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
European |
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
European |
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Cybersecurity |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Cybersecurity |
|
Certification |
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Certification |
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Scheme |
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Scheme |
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Opinion on Draft |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
URWP requested |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
In duly justified cases, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
ECCG |
|
|
|
|
|
|
|
Commission or ECCG may |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
request ENISA to prepare |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
a candidate scheme or review |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
an existing one beyond URWP |
|
|
|
Advice |
Opinion of ECCG to |
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
be taken of outmost |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
account by ENISA |
|
|
|
|
|||||
Commission |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
Draft URWP |
Final URWP |
|
request for |
|
|
Commission requests ENISA to |
Implementing |
||||||||||||||||||
|
|
|
|
|
|
|
|
|
Draft |
|
|
|
|
Based on the URWP, |
|
|
|
|
|
|
|
Adoption by |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
European |
|
|
|
|
|
|
|
|
a scheme |
|
|
|
|
prepare a candidate scheme |
|
|
Act. |
|
|
||||||||
Preparation of draft |
|
|
|
|
|
|
|
or review an existing one |
|||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Final Candidate |
|
European Cybersecurity |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
Union Rolling Work |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
Programme (URWP) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Scheme |
|
Certification Scheme |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SCCG |
|
|
|
|
|
|
|
|
|
|
|
|
|
COLOURING SCHEME |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
Preparation of a Union Rolling Work Programme |
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Request to prepare a candidate cybersecurity certifications scheme |
|||||||||||||
|
|
|
Advice on Draft |
|
|
|
|
|
|
|
Preparation of a candidate cybersecurity certification scheme |
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
Transmission and adoption of a candidate cybersecurity certification scheme |
|||||||||||||||||
|
|
|
European Commission |
|
|
|
|
|
|
||||||||||||||||||
Källa: Enisa.
cybersäkerhetsakt EU:s
2020:58 SOU
SOU 2020:58 |
EU:s cybersäkerhetsakt |
Webbplats om europeiska ordningar för cybersäkerhetscertifiering
I artikel 50 anges att Enisa ska underhålla en särskild webbplats med information om och offentliggörande av europeiska ordningar för cybersäkerhetscertifiering, europeiska cybersäkerhetscertifikat och
Säkerhetsmålsättningarna för europeiska ordningar för cybersäkerhetscertifiering
I artikel 51 föreskrivs att en europeisk ordning för cybersäkerhets- certifiering ska vara utformad för att, i tillämpliga fall, uppnå minst de säkerhetsmålsättningar som anges i bestämmelsen.
Assuransnivåer för europeiska ordningar för cybersäkerhetscertifiering
I artikel 52 anges att en europeisk ordning för cybersäkerhetscertifier- ing får innehålla en eller flera av assuransnivåerna ”grundläggande”, ”betydande” och ”hög” för IKT- produkter,
Assuransnivån för en europeisk certifieringsordning utgör förtro- endegrunden för att en
97
EU:s cybersäkerhetsakt |
SOU 2020:58 |
Assuransnivåerna avspeglar motsvarande stringens och djup i fråga om utvärdering av
En europeisk ordning för cybersäkerhetscertifiering kan ha flera utvärderingsnivåer beroende på hur stringent och djupgående utvär- deringsmetoden är. Utvärderingsnivåer ska motsvara en av assurans- nivåerna och vara kopplad till en lämplig kombination av assurans- komponenter. För samtliga assuransnivåer bör
Självbedömning av överensstämmelse
I artikel 53 anges att en europeisk ordning för cybersäkerhetscerti- fiering kan ge tillverkaren eller leverantören av
Komponenter i europeiska ordningar för cybersäkerhetscertifiering
Av artikel 54 framgår att en europeisk ordning för cybersäkerhets- certifiering ska innehålla bl.a. föremålet och tillämpningsområdet för certifieringsordningen, inbegripet typen eller kategorierna av de IKT- produkter,
25Skäl 79.
98
SOU 2020:58 |
EU:s cybersäkerhetsakt |
nivåerna överensstämmer med behoven hos ordningens avsedda an- vändare.
En europeisk ordning för cybersäkerhetscertifiering kan möjlig- göra både självbedömning av överensstämmelse och certifiering för
En bedömning av överensstämmelse avser det förfarande genom vilket man utvärderar om fastställda krav för en
Valet av lämplig certifiering och därtill knutna säkerhetskrav av användarna av europeiska cybersäkerhetscertifikat bör grundas på en riskanalys som avser risker med användningen av
Kompletterande cybersäkerhetsinformation för certifierade
I artikel 55 anges att tillverkaren eller leverantören av
26Skäl 80.
27Skäl 77.
28Skäl 78.
99
EU:s cybersäkerhetsakt |
SOU 2020:58 |
Cybersäkerhetscertifiering
I artikel 56 anges att
I punkten 4 anges att de organ för bedömning av överensstäm- melse som avses i artikel 60 ska utfärda europeiska cybersäkerhets- certifikat i enlighet med artikeln som avser assuransnivå grundläg- gande eller betydande på grundval av de kriterier som ingår i den europeiska ordningen för cybersäkerhetscertifiering, som antagits av kommissionen i enlighet med artikel 49.
Ipunkten 5 anges att genom undantag från punkten 4, och i moti- verade fall, får en europeisk ordning för cybersäkerhetscertifiering föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett re- sultat av den ordningen får utfärdas endast av ett offentligt organ. Ett sådant organ ska vara ett av följande:
a)En nationell myndighet för cybersäkerhetscertifiering som avses i artikel 58.1.
b)Ett offentligt organ som är ackrediterat som organ för bedöm- ning av överensstämmelse i enlighet med artikel 60.1.
Av punkten 6 framgår att om en europeisk ordning för cybersäker- hetscertifiering som antagits enligt artikel 49 kräver assuransnivån hög ska det europeiska cybersäkerhetscertifikatet enligt den ord- ningen endast utfärdas av en nationell myndighet för cybersäker- hetscertifiering eller, i följande fall, av ett organ för bedömning av överensstämmelse:
a)Efter förhandsgodkännande av den nationella myndigheten för cybersäkerhetscertifiering för varje enskilt europeiskt cybersäker- hetscertifikat som utfärdats av ett organ för bedömning av överens- stämmelse.
b)Efter allmän delegering på förhand av uppgiften att utfärda ett sådant europeiskt cybersäkerhetscertifikat till ett organ för be- dömning av överensstämmelse från den nationella myndigheten för cybersäkerhetscertifiering.
100
SOU 2020:58 |
EU:s cybersäkerhetsakt |
I punkten 9 anges att ett europeiskt cybersäkerhetscertifikat ska ut- färdas för den period som fastställs i den europeiska ordningen för cybersäkerhetscertifiering och får förnyas under förutsättning att de relevanta kraven alltjämt uppfylls.
Av punkten 10 framgår att ett europeiskt cybersäkerhetscertifikat som utfärdats i enlighet med denna artikel ska erkännas i alla med- lemsstater.
Nationella ordningar och certifikat för cybersäkerhetscertifiering
I artikel 57.1 anges att de nationella ordningarna för cybersäkerhets- certifiering och därtill hörande förfaranden, för
Av punkten 2 framgår att medlemsstaterna inte får införa nya nationella ordningar för cybersäkerhetscertifiering av de
Av punkten 3 framgår att befintliga certifikat som utfärdats enligt nationella ordningar för cybersäkerhetscertifiering och som omfat- tas av en europeisk ordning för cybersäkerhetscertifiering ska förbli giltiga tills de löper ut.
Hänvisningar i nationell lagstiftning till nationella standarder som har upphört att ha verkan i och med att en europeisk ordning för cybersäkerhetscertifiering har trätt i kraft kan orsaka förvirring.29 Medlemsstaterna bör därför se till att antagandet av en europeisk ord- ning för cybersäkerhetscertifiering avspeglas i deras nationella lag- stiftning.30
29Skäl 98.
30Skäl 104.
101
EU:s cybersäkerhetsakt |
SOU 2020:58 |
Nationella myndigheter för cybersäkerhetscertifiering
I artikel 58.1 anges att varje medlemsstat ska utse en eller flera natio- nella myndigheter för cybersäkerhetscertifiering på sitt territorium eller, efter överenskommelse med en annan medlemsstat, utse en eller flera nationella myndigheter för cybersäkerhetscertifiering som är etablerade i denna andra medlemsstat som ansvariga för tillsyns- uppgifterna i den utseende medlemsstaten.
Av punkten 2 följer att medlemsstaten ska underrätta kommissio- nen om vilka nationella myndigheter för cybersäkerhetscertifiering som utsetts. Om en medlemsstat utser mer än en myndighet ska den också informera kommissionen om vilka uppgifter som var och en av dessa myndigheter tilldelats.
Av punkten 7 framgår att nationella myndigheter för cybersäker- hetscertifiering bl.a. ska
–övervaka och kontrollera efterlevnaden av bestämmelserna i euro- peiska ordningar för cybersäkerhetscertifiering,
–övervaka att
–kontrollera att tillverkare eller leverantörer av
–aktivt bistå och stödja de nationella ackrediteringsorganen med övervakning och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse i enlighet med denna för- ordning,
–övervaka och kontrollera den verksamhet som bedrivs av de offent- liga organ som avses i artikel 56.5,
–i tillämpliga fall utfärda bemyndiganden för organ för bedömning av överensstämmelse i enlighet med artikel 60.3 och begränsa, till- fälligt upphäva eller återkalla befintliga bemyndiganden om orga- nen för bedömning av överensstämmelse inte uppfyller kraven i cybersäkerhetsakten,
102
SOU 2020:58 |
EU:s cybersäkerhetsakt |
–behandla klagomål från fysiska eller juridiska personer avseende europeiska cybersäkerhetscertifikat som utfärdats av nationella myndigheter för cybersäkerhetscertifiering eller europeiska cyber- säkerhetscertifikat som utfärdats av organ för bedömning av över- ensstämmelse i enlighet med artikel 56.6, eller avseende en EU- försäkran av överensstämmelse som utfärdats enligt artikel 53,
–lämna en årlig sammanfattande rapport om den verksamhet som bedrivits enligt leden b, c och d i denna punkt eller enligt punkt 8 till Enisa och europeiska gruppen för cybersäkerhetscertifiering,
–samarbeta med andra nationella myndigheter för cybersäkerhets- certifiering eller andra myndigheter, bl.a. genom att utbyta infor- mation om
–övervaka relevant utveckling på området cybersäkerhetscertifiering.
I punkten 8 anges de minimibefogenheter som varje nationell myn- dighet för cybersäkerhetscertifiering ska ha för att kunna fullgöra till- syn över efterlevnaden av det europeiska ramverket för cybersäker- hetscertifiering.
Av punkten 9 framgår att nationella myndigheter för cybersäker- hetscertifiering ska samarbeta med varandra och med kommissio- nen, bl.a. genom att utbyta information, erfarenheter och god praxis när det gäller cybersäkerhetscertifiering och tekniska frågor som rör cybersäkerhet hos
Inbördes granskning
I artikel 59.1 anges att de nationella myndigheterna för cybersäker- hetscertifiering omfattas av inbördes granskning i syfte att uppnå likvärdiga standarder i hela unionen för
Av punkten 4 framgår att den inbördes granskningen ska utföras av minst två nationella myndigheter för cybersäkerhetscertifiering från andra medlemsstater och kommissionen och ska utföras minst vart femte år. Enisa får delta i den inbördes granskningen.
103
EU:s cybersäkerhetsakt |
SOU 2020:58 |
Organen för bedömning av överensstämmelse
Av artikel 60.1 framgår att organen för bedömning av överensstäm- melse ska ackrediteras av det nationella ackrediteringsorgan som ut- setts i enlighet med förordning (EG) nr 765/2008. Sådan ackrediter- ing ska endast utfärdas under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till EU:s cybersäker- hetsakt.
I punkten 2 anges att om ett europeiskt cybersäkerhetscertifikat utfärdas av en nationell myndighet för cybersäkerhetscertifiering en- ligt artikel 56.5 a och 56.6 ska certifieringsorganet hos den nationella myndigheten för cybersäkerhetscertifiering ackrediteras som ett organ för bedömning av överensstämmelse enligt punkten 1.
Av punkten 3 framgår att om de europeiska ordningarna för cyber- säkerhetscertifiering innehåller särskilda eller ytterligare krav enligt artikel 54.1 f ska endast organ för bedömning av överensstämmelse som uppfyller dessa krav bemyndigas av den nationella myndigheten för cybersäkerhetscertifiering att utföra uppgifter inom ramen för sådana ordningar.
Av punkten 4 framgår att ackrediteringen som avses i punkten 1 ska utfärdas till organen för bedömning av överensstämmelse för en period på högst fem år och får förnyas på samma villkor under förut- sättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven i denna artikel. Nationella ackrediteringsorgan ska vidta alla lämpliga åtgärder inom en rimlig tidsram för att begränsa, tillfälligt upphäva eller återkalla ackrediteringen av ett organ för be- dömning av överensstämmelse som utfärdats i enlighet med punkten 1 om villkoren för ackrediteringen inte har uppfyllts, eller inte längre uppfylls eller om åtgärder som vidtagits av organet för bedömning av överensstämmelse strider mot bestämmelserna i cybersäkerhets- akten.
Anmälan
I artikel 61.1 anges att de nationella myndigheterna för cybersäker- hetscertifiering ska anmäla till kommissionen de organ som har ackre- diterats och, i tillämpliga fall, bemyndigade i enlighet med artikel 60.3 att utfärda europeiska cybersäkerhetscertifikat på angivna assurans- nivåer enligt artikel 52.
104
SOU 2020:58 |
EU:s cybersäkerhetsakt |
Av punkten 2 följer att kommissionen ska, ett år efter ikraftträdan- det av en europeisk ordning för cybersäkerhetscertifiering, offent- liggöra en förteckning över de organ för bedömning av överensstäm- melse som har anmälts.
Av punkten 4 följer att en nationell myndighet för cybersäkerhets- certifiering får lämna in en begäran till kommissionen om att stryka ett organ för bedömning av överensstämmelse, som anmälts av den myndigheten, från den förteckning som avses i punkten 2.
Europeiska gruppen för cybersäkerhetscertifiering
Av artikel 62 följer att en europeisk grupp för cybersäkerhetscertifier- ing ska bildas. Gruppen ska bestå av företrädare för nationella myn- digheter för cybersäkerhetscertifiering eller företrädare för andra be- rörda nationella myndigheter. Gruppen ska ha i uppgift att bl.a. ge råd till och bistå kommissionen i dess arbete för att säkerställa ett konsekvent genomförande och en konsekvent tillämpning av det europeiska ramverket för cybersäkerhetscertifiering, särskilt när det gäller frågor som rör unionens löpande arbetsprogram, cybersäker- hetscertifiering, strategisamordning och utarbetandet av de europe- iska ordningarna för cybersäkerhetscertifiering.
Rätt att lämna in klagomål
I artikel 63.1 anges att fysiska och juridiska personer ska ha rätt att lämna in klagomål till utfärdaren av ett europeiskt cybersäkerhets- certifikat eller, när klagomålet rör ett europeiskt cybersäkerhetscerti- fikat som utfärdats av ett organ för bedömning av överensstämmelse som handlar i enlighet med artikel 56.6, till den berörda nationella myndigheten för cybersäkerhetscertifiering.
105
EU:s cybersäkerhetsakt |
SOU 2020:58 |
Rätt till ett effektivt rättsmedel
I artikel 64.1 anges att fysiska och juridiska personer ska ha rätt till effektiva rättsmedel avseende
a)beslut avseende ett europeiskt cybersäkerhetscertifikat som inne- has av fysiska och juridiska personer och som meddelats av den myndighet eller det organ som avses i artikel 63.1, och
b)underlåtenhet att vidta åtgärder med anledning av ett klagomål som lämnats in till den myndighet eller det organ som avses i artikel 63.1.
Sanktioner
I artikel 65 anges att medlemsstaterna ska fastställa regler om sank- tioner vid överträdelser av det europeiska ramverket för cybersäker- hetscertifiering och europeiska certifieringsordningar, och ska vidta alla nödvändiga åtgärder för att se till att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande.
106
5Cybersäkerhetscertifiering i Sverige
5.1Inledning
I detta kapitel redogörs för den nationella ordningen för certifiering av
5.2Bakgrund
Certifiering innebär godkänd revision. Certifiering är den process som utförs av ett certifieringsorgan som kan leda till utfärdandet av ett certifikat. Organ med uppgift att utfärda certifikat finns på många olika områden och dessa organ är normalt inte myndigheter. Certi- fikatet är ett offentligt dokument utfärdat av certifieringsorganet som bekräftar att en specifik produkt framgångsrikt genomgått ut- värdering. Certifikatet kan t.ex. vara i form av en licens, ett diplom eller en legitimation. För att få ett certifikat ska organisationen ha genomgått en s.k. certifieringsrevision. Certifieringen består av en formell och oberoende utvärdering av produkter, tjänster och pro- cesser utifrån fastställda kriterier. Certifiering kan även avse personer. Oftast innebär certifieringsrevisionen att en extern revisor granskar organisationens processer och rutiner på det område som aktuell standard handlar om. Certifiering informerar och försäkrar köparna och användarna om säkerhetsegenskaperna hos produkterna och
107
Cybersäkerhetscertifiering i Sverige |
SOU 2020:58 |
tjänsterna. Genom att certifiera sig mot en standard visar man att sin organisation uppfyller kraven i den standarden.
Certifiering under ackreditering innebär att en organisation, pro- dukt eller person av ett ackrediterat certifieringsorgan bedöms upp- fylla krav som ställs i standarder eller andra styrdokument. Här görs det även regelbundna kontroller av att t.ex. certifierad personal håller sin kompetens uppdaterad eller att en certifierad produkt fortsätter att överensstämma med kraven.
Certifiering av t.ex.
Utöver ett behov av generellt arbete för bättre cybersäkerhet har det funnits en efterfrågan från Försvarsmakten och
I Sverige är det för närvarande endast det offentliga organet CSEC (vid FMV) som är erkänt inom CCRA och
1I detta sammanhang ingår granskning att evalueringsarbetet genomförts med erforderlig nog- grannhet och med utnyttjande av godkänd metodik samt att resultatet påvisat att evaluerings- objektet svarar mot någon viss kravnivå enligt givna evalueringskriterier. Certifiering utgör ofta ett väsentligt underlag vid ackreditering av system.
2Denna standard innehåller krav vid certifiering av produkter, processer och tjänster.
3SIS, Terminologi för informationssäkerhet, teknisk rapport
4Viss översyn av verksamhet och organisation på informationssäkerhetsområdet, SOU 2010:25, s. 25.
108
SOU 2020:58 |
Cybersäkerhetscertifiering i Sverige |
5.3Försvarets materielverk (FMV)
FMV:s organisation och uppgifter
Försvarets materielverk (FMV) ska i enlighet med Försvarsmaktens investeringsplan och uppdrag ansvara för upphandling av bl.a. varor och tjänster inom den del av materielförsörjningsområdet som inte omfattas av Försvarsmaktens upphandlingsansvar. FMV ska även biträda Försvarsmakten i bl.a. planeringen av materiel- och logistik- försörjningen samt med materielsystemkunskap. FMV ska också biträda Försvarsmakten med kompetens när det gäller upphandling och vidmakthållande.
FMV får inom sitt verksamhetsområde även tillhandahålla tjänster åt andra än Försvarsmakten.5
FMV är en s.k. industrisäkerhetsmyndighet enligt säkerhets- skyddslagen och har i betänkandet Kompletteringar till den nya säker- hetsskyddslagen (SOU 2018:82) föreslagits bli tillsynsmyndighet enligt säkerhetsskyddslagen för försvarsföretag.
Genom stärkt internationell samverkan under 2019 har FMV bi- dragit till att ta fram ett ramverk för stöd till att hantera cyberhot, sårbarheter och motåtgärder – något som kan användas av säkerhets- experter inom både stat och näringsliv. Arbetet är ett resultat av ett samarbete inom Multinational Industrial Security Working Group (MISWG) gällande strategier för nationell cybersäkerhet, policyer för nationell industrisäkerhet och bästa praxis i detta sammanhang. Mot bakgrund av att flera av deltagarländerna i MISWG redan har mot- svarande nationella modeller kan dessutom harmonisering uppnås.6
FMV/CSEC har att, i samverkan med MSB, medverka i europeiska och internationella arbetsgrupper i syfte att utarbeta detaljerade krav på
5FMV bedriver också försvarsunderrättelseverksamhet enligt 2 § förordningen (2000:131) om försvarsunderrättelseverksamhet.
6Samlad informations- och cybersäkerhetshandlingsplan
109
Cybersäkerhetscertifiering i Sverige |
SOU 2020:58 |
FMV och det nationella certifieringsorganet CSEC
Enligt myndighetens instruktion (5 §) ska det vid FMV finnas ett nationellt certifieringsorgan för
CSEC verkar som Sveriges nationella certifieringsorgan för it- säkerhet i produkter och system enligt den internationella standarden Common Criteria (CC). CSEC ackrediterades som nationellt certi- fieringsorgan 2008. Swedac utövar regelbunden tillsyn över CSEC för att säkerställa att certifieringsorganet håller den standard som ligger till grund för ackrediteringen.8
CSEC:s huvuduppgifter är att utöva tillsyn över evalueringar, granska evalueringsrapporter, skriva certifieringsrapporter, utfärda certifikat och publicera en lista på certifierade produkter. Produkter som certiferats av CSEC används bl.a. av Försvarsmakten.
CSEC ska licensiera9 evalueringsföretag och utöva tillsyn över deras verksamhet samt bidra med stöd och råd vid utnyttjandet av CC för kravspecifikation. CSEC deltar vidare i internationellt samarbete för tolkningar av CC och utveckling av standarder samt marknads- för CC.10 CSEC har även haft till uppgift att utveckla en nationell certifieringsordning för
Chefen för CSEC ansvarar för att förvalta och vidareutveckla cer- tifieringsordningen inom given budget och leder certifieringsorganets dagliga verksamhet inom ramen för certifieringsorganets uppgift.
7FMV:s överdirektör har ansvaret för certifieringsorganet i de frågor där oberoende krävs.
8Närmare bestämt är CSEC ackrediterat av Swedac som ett certifieringsorgan för säkerhet i
9Licensieringen sker efter de principer som tillämpas inom CCRA och
10CSEC ska medverka i svenska och internationella standardiseringsorgan och forum för att utveckla och förbättra standarder för kravställning och evaluering av
11I den tidigare lydelsen av FMV:s instruktion (SFS 2007:854) föreskrevs att certifieringsorganet skulle upprätta och driva en certifieringsordning för säkerhet i
110
SOU 2020:58 |
Cybersäkerhetscertifiering i Sverige |
Chefen rapporterar till myndighetens överdirektör i frågor som rör certifieringsorganets verksamhet.12
CSEC representerar Sverige inom CCRA (Common Criteria Recognition Arrangement) i rollerna som nationellt certifieringsorgan och signatär. CSEC:s arbete bedrivs inom ramen för CCRA där sam- verkan för närvarande sker mellan 31 länder och deras berörda myn- digheter (varav 17 är ackrediterade att utfärda certifikat).13 CSEC representerar även Sverige inom den europeiska organisationen SOG- IS MRA.14 Medlemmarna i CCRA- och
Mot bakgrund av Försvarsmaktens ansvar för kryptogodkännande verkar CSEC i nära samarbete med MUST (Militära underrättelse- och säkerhetstjänsten).15
Sveriges certifieringsordning för
Under CSEC:s överinseende har en nationell certifieringsordning enligt CC inrättats för att säkerställa att utvärderingar av
12Överdirektörens befogenheter innefattar att godkänna
13Evalueringsnivå (Evaluation Assurance Level, EAL) är en numerisk bedömning från
14CCRA och
15CSEC har i enlighet med mål i en handlingsplan för informationssäkerhet 2012 tagit fram en särskild kryptopolicy.
16För ett certifieringsorgan är ISO/IEC 17065, Conformity assessment – Requirements for bodies certifying products, processes and services, tillämplig i enlighet med regleringarna av CCRA,
17Certifieringsordningen drivs också i enlighet med
111
Cybersäkerhetscertifiering i Sverige |
SOU 2020:58 |
ningar tillhandahåller ramar för internationellt erkännande av certi- fikat som utfärdats enligt respektive ordning. Den svenska certifier- ingsordningen ger grunder för utvärderingar och certifieringar genom att beskriva och genomföra nödvändiga rättsliga ramar och processer. Därmed upprätthålls principer om lämplighet, opartiskhet, korrekt- het och effektivitet i alla utvärderingsaktiviteter.18
CSEC har tagit fram ett dokument som beskriver processen för klagomålshanteringen
En klagande som inte är nöjd med ett beslut eller resultatet av ett klagomål som gäller certifieringsverksamheten kan lämna in ett över- klagande.19 För att bevara opartiskheten behandlas överklaganden av personal som inte är inblandad i det överklagade beslutet. Över- klagandet hanteras av kvalitetsansvarig.20 Beslutet om resultatet av överklagandet fattas av chefen för CSEC. Det beslutade utfallet av överklagandet ska godkännas av ledande befattningshavare.
Ömsesidigt erkännande av certifikat
Certifikat som utfärdas inom ramen för den svenska certifierings- ordningen kan vara föremål för ömsesidigt erkännande enligt CCRA, EA MLA (The European cooperation for accreditation multilateral
18CSEC:s dokument
19Överklagandet ska göras inom 30 dagar efter det ursprungliga beslutet.
20Kvalitetsansvarig ska informera klaganden om förfarandets gång.
112
SOU 2020:58 |
Cybersäkerhetscertifiering i Sverige |
agreement) och
Numera begränsas giltigheten av
CCRA och
CSEC kan utfärda certifikat med krav på överensstämmelse mot
CCpå samtliga assuransnivåer, mot CCRA avseende
Ömsesidigt erkännande enligt CCRA22 av certifikat som utfär- dats inom den nationella certifieringsordningen är föremål för vissa krav på själva ordningen, som att genomgå periodiska utvärderingar av andra deltagare i CCRA och uppfylla särskilda restriktioner för hantering av skyddad information som delas mellan deltagarna.
21Deltagarna i
22Detta gäller även
113
Cybersäkerhetscertifiering i Sverige |
SOU 2020:58 |
5.4Myndigheten för samhällsskydd och beredskap (MSB)
Uppgifter
Myndigheten för samhällsskydd och beredskap (MSB) har ansvar för att stödja samhällets beredskap för olyckor, kriser och civilt för- svar, i den utsträckning inte någon annan myndighet har ansvaret. Ansvaret avser åtgärder före, under och efter en allvarlig olycka, kris, krig eller krigsfara.
MSB är också Sveriges kontaktpunkt för skydd av europeisk kri- tisk infrastruktur enligt artikel 10.1 i rådets direktiv 2008/114/EG om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna.
MSB är även nationell kontaktpunkt avseende
Vidare har MSB enligt sin instruktion till uppgift att stödja och samordna arbetet med samhällets informationssäkerhet och har före- skriftsrätt inom samma område. MSB ska dessutom på informations- och cybersäkerhetsområdet analysera och bedöma omvärldsutveck- lingen samt rapportera till regeringen om förhållanden som kan resultera i behov av åtgärder på olika nivåer och områden i samhället.23
MSB:s uppgifter inom området informations- och cybersäkerhet är bl.a. att ansvara för utveckling och förvaltning av säkra kommuni- kationer24, vara råd- och stödgivande i informationssäkerhetsarbetet samt hantera respektive förebygga
Vid myndigheten finns en avdelning för cybersäkerhet och säkra kommunikationer (CS). Avdelningen, som är indelad i enheter, bl.a. för strategi och samordning, operativ cybersäkerhet, incidenthanter- ing, tekniska resurser och säkerhet i cyberfysiska system. Vidare finns en enhet för systematiskt informationssäkerhet som lämnar råd och stöd om det förebyggande arbetet inom informations- och cyber-
2311 a § förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap.
24Inom området säkra kommunikationer ansvarar MSB för utveckling och förvaltning av Rakel, SGSI och WIS (myndighetens externa kommunikationstjänster).
114
SOU 2020:58 |
Cybersäkerhetscertifiering i Sverige |
säkerhetsområdet till andra statliga myndigheter, kommuner och re- gioner samt företag.
Myndigheten bedriver också verksamhet avseende Rakel och led- ningssystem, bl.a. strategisk inriktning, utveckling och förvaltning av kommunikationstjänster som används för ledning och samverkan inom och mellan samhällsviktiga verksamheter.
MSB har nyligen lämnat förslag till föreskrifter och allmänna råd om informationssäkerhet för statliga myndigheter som skickats på remiss.25 Föreskrifterna innehåller bestämmelser om säkerhetskrav och stipulerar bl.a. att myndigheter ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av vissa standarder.
MSB har fått ett uppdrag av regeringen som avser att utforska hur ett utvecklat Rakel skulle kunna etableras för tillhandahållande av tjänster för mobil datakommunikatoin, varvid
Samverkan
MSB har en uttalad samordningsroll, och när det gäller övriga myn- digheter med uppgifter inom området informationssäkerhet sker dessutom ett formaliserat samarbete. MSB har bl.a. till uppgift att inrikta och samordna civila myndigheters signalskyddsverksamhet och arbete med säkra kryptografiska funktioner26. Detta innebär att MSB beslutar om vilka civila myndigheter och andra samhällsviktiga verksamheter som kan tilldelas signalskyddssystem och säkra kryp- tografiska funktioner för möjlighet till säkrare samverkan.27 MSB kan även ge ut kompletterande föreskrifter inom området, t.ex. om civila myndigheters kryptoberedskap.28
MSB deltar i internationella samarbeten som rör informations- och cybersäkerhet, t.ex. informationsdelning och samarbete mellan nordiska nationella
25Förslag till revidering av föreskrifter (MSB 2016:1) om informationssäkerhet.
26Säkra kryptografiska funktioner används för att förhindra förlust av riktighet, tillgänglighet och konfidentialitet hos organisationens informationstillgångar.
27MSB använder inte föreskrifter för att ålägga aktörer krav på signalskydd utan bedömningen är individuell och behovsdriven. Man skriver sedan avtal med berörda om regleringen och fattar beslut om tilldelning av signalskydd (med stöd från FRA).
28Försvarsmakten leder signalskyddsverksamheten och arbetet med säkra kryptografiska funk- tioner. Försvarsmakten har också till uppgift att granska och att nationellt godkänna krypto- system (se vidare avsnitt 5.7).
115
Cybersäkerhetscertifiering i Sverige |
SOU 2020:58 |
European Governmental CERTs (EGC), samt internationell samver- kan kring säkerhet i
MSB har, i samråd med övriga myndigheter som ingår i SAMFI31, tagit fram en nationell handlingsplan för samhällets informations- säkerhet. MSB har rollen som ordförande i arbetsgrupperna som SAMFI bildat och förvaltar en nationella handlingsplan för samhällets informationssäkerhet. Handlingsplanen publicerades 2012 och inne- håller ett
MSB har även knutit till sig ett informationssäkerhetsråd med bred representation från både offentlig förvaltning och näringslivet: Cybersäkerhetsrådet. Cybersäkerhetsrådet ska i huvudsak bistå MSB med information om utvecklingstrender inom området informations- säkerhet.
I dagsläget administrerar MSB fem forum för informationsdelning om informationssäkerhet (FIDI, se nedan):
MSB:s medverkan i samarbetsgruppen och nätverket för nationella Computer Security Incident Response Teams (CSIRT) inom ramen
29Standardiseringen med avseende på informationssäkerhet bedrivs i huvudsak inom ramen för Svenska institutet för standarders (SIS) arbete kopplat till ISO:s (International Organi- zation for Standardization) grupp ISO/IEC JTC 1/SC 27 IT Security Techniques.
30Förvaltningen av en referenslista över rekommenderade skyddsprofiler kommer att ingå i MSB:s löpande arbete för vidareutveckling av stöd inom
31Försvarets materielverk (FMV)/Sveriges certifieringsorgan för
32MSB, Nationell handlingsplan för samhällets informationssäkerhet, Slutrapport, mars 2016.
116
SOU 2020:58 |
Cybersäkerhetscertifiering i Sverige |
för
Forum för informationsdelning om informationssäkerhet (FIDI)
FIDI (forum för informationsdelning om informationssäkerhet) är
Det övergripande målet med
33
117
Cybersäkerhetscertifiering i Sverige |
SOU 2020:58 |
Den information som delas inom
Det finns flera exempel där
5.5Post- och telestyrelsen (PTS)
Post- och telestyrelsen (PTS) är tillsynsmyndighet enligt lagen (2003:389) om elektronisk kommunikation. Av 1 § förordningen (2007:951) med instruktion för Post- och telestyrelsen framgår att PTS är en förvaltningsmyndighet med ett samlat ansvar inom post- området och området för elektronisk kommunikation. Myndigheten ska verka för att målen inom politiken för informationssamhället upp- nås. Myndigheten ska även, inom ramen för sina uppgifter enligt lagen (2003:389) om elektronisk kommunikation, verka för att de mål som anges i denna lag uppnås.
Myndigheten ska beskriva och analysera utveckling och resultat inom sitt ansvarsområde och rapportera detta till regeringen. Myn- digheten ska särskilt uppmärksamma och analysera eventuella pro- blem inom området och, när det är påkallat, vidta eller lämna förslag till lämpliga åtgärder. Myndigheten ska vidare regelbundet göra stra- tegiska analyser inom området för elektronisk kommunikation och redovisa den långsiktiga inriktningen av myndighetens tillämpning av regleringen på området.
118
SOU 2020:58 |
Cybersäkerhetscertifiering i Sverige |
Det anges också i 4 § i förordningen (2007:951) med instruktion för Post- och telestyrelsen att PTS inom området för elektronisk kommunikation bl.a. har till uppgift att
–främja tillgången till säkra och effektiva elektroniska kommunika- tioner, inbegripet att tillse att samhällsomfattande tjänster finns tillgängliga,
–följa utvecklingen när det gäller säkerhet vid elektronisk kommu- nikation,
–pröva frågor om tillstånd och skyldigheter och utöva tillsyn enligt lagen (2003:389) om elektronisk kommunikation,
–meddela föreskrifter enligt förordningen (2003:396) om elektronisk kommunikation,
–utöva tillsyn enligt lagen (2016:561) med kompletterande bestäm- melser till EU:s förordning om elektronisk identifiering och ge stöd och information till myndigheter och enskilda när det gäller betrodda tjänster,
–utöva tillsyn enligt lagen (2006:24) om nationella toppdomäner för Sverige på internet samt meddela föreskrifter enligt för- ordningen (2006:25) om nationella toppdomäner för Sverige på internet,
–verka för robusta elektroniska kommunikationer och minska risken för störningar, inbegripet att upphandla förstärknings- åtgärder, samt verka för ökad krishanteringsförmåga,
–verka för ökad nät- och informationssäkerhet i fråga om elektro- nisk kommunikation, genom samverkan med myndigheter som har särskilda uppgifter inom
–lämna råd och stöd till myndigheter, kommuner och landsting samt företag, organisationer och andra enskilda i frågor om nät- säkerhet, och
–vara tillsynsmyndighet enligt lagen (2018:1174) om informations- säkerhet för samhällsviktiga och digitala tjänster.
119
Cybersäkerhetscertifiering i Sverige |
SOU 2020:58 |
I7 § samma förordning anges att PTS beträffande
Tidigare var PTS det behöriga organ som fick begära råd och stöd enligt Europaparlamentets och rådets förordning (EU) nr 526/2013 om Europeiska unionens byrå för nät- och informationssäkerhet (Enisa).34
PTS arbetar med informationssäkerhet i enlighet med sin instruk- tion och lagen om elektronisk kommunikation. PTS har tagit fram en vägledning för användare om hur man kan anskaffa robust kom- munikation. Råd lämnas bl.a. om hur man ställer adekvata krav vid anskaffningen och hur man identifierar kritiska funktioner genom en risk- och sårbarhetsanalys.
PTS har alltså ansvar för tillsyn eller andra uppgifter inom om- rådena elektronisk kommunikation, post, kontanthantering, betrodda tjänster och digitala tjänster (bl.a. molntjänster och internetbaserade marknadsplatser). När det gäller betrodda tjänster innefattar PTS till- syn verksamheter som granskats och certifierats av oberoende organ för bedömning av överensstämmelse.
PTS har under 2019 analyserat möjligheter till att öka spårbarheten i betrodda tjänster, exempelvis elektroniska underskrifter och stämp- lar. Analysen har diskuterats med europeiska tillsynsmyndigheter. Frågan kommer att lyftas av flera tillsynsmyndigheter i samband med den pågående översynen av
I syfte att öka säkerheten i nätverk har PTS tillsammans med tele- operatörer tydliggjort vilka egenskaper som ur ett regionalt perspek- tiv bör eftersträvas för att öka motståndskraft och uthållighet i allmänt tillgängliga elektroniska kommunikationsnät.
PTS ingår även i SAMFI (se avsnitt 5.10).
34Se tidigare lydelse av 7 § i SFS 2019:191. Ändringen har påkallats av
120
SOU 2020:58 |
Cybersäkerhetscertifiering i Sverige |
5.6Försvarets radioanstalt (FRA)
Försvarets radioanstalt (FRA) bedriver verksamhet främst inom områdena signalunderrättelsetjänst och informationssäkerhetstjänst. Det förstnämnda är att på uppdrag av regeringen och de myndig- heter som regeringen bestämmer. Syftet är att kartlägga yttre mili- tära hot och andra utländska förhållanden som kan påverka Sveriges säkerhet, t.ex. internationell terrorism och cyberhot mot samhällets infrastruktur. Det andra området avser informationssäkerhet där FRA har ett expertuppdrag sedan 2003. FRA ska enligt sin instruktion ha hög teknisk kompetens inom informationssäkerhetsområdet och får efter begäran stödja sådana statliga myndigheter och statliga bolag som hanterar information som bedöms vara känslig ur sårbarhets- synpunkt eller i ett säkerhets- eller försvarspolitiskt avseende.35
FRA ska särskilt kunna stödja insatser vid nationella kriser med
FRA ska vidare samverka med andra organisationer inom infor- mationssäkerhetsområdet såväl inom som utom landet. Myndigheten deltar både i bilaterala och multilaterala internationella samarbeten för informationsdelning inom informations- och cybersäkerhetsområ- det. FRA har även till uppgift att förse civila myndigheter, kommuner och företag med säkra kryptografiska funktioner.
FRA har, i samverkan med Säkerhetspolisen, tillgängliggjort Tek- niskt detekterings- och varningssystem (TDV) till flera av de mest skyddsvärda verksamheterna.
35Vid myndigheten finns en forsknings- och utvecklingsenhet med uppgift att metodiskt upp- täcka och analysera sårbarheter i informationsmiljöer.
121
Cybersäkerhetscertifiering i Sverige |
SOU 2020:58 |
5.7Försvarsmakten
Försvarsmaktens övergripande ansvar är att upprätthålla och utveckla ett militärt försvar. Myndigheten ska kunna försvara Sverige och främja svensk säkerhet genom insatser nationellt och internationellt.36 Uppgifterna inbegriper cyberförsvar, vilket är ett område där För- svarsmakten intensifierat utvecklingen av sin förmåga under de senaste åren. Vidare ska myndigheten med befintlig förmåga och resurser kunna lämna stöd till civil verksamhet.
Försvarsmaktens ansvar på informationssäkerhetsområdet om- fattar säkra kryptografiska funktioner, säkerhetsskydd och signal- skydd. Säkerhetsskyddstjänsten förebygger bl.a. att uppgifter som omfattas av sekretess och som rör rikets säkerhet inte röjs, och att endast personer som är pålitliga utifrån säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet. Bland säkerhets- skyddsåtgärder ingår att lämna stöd till andra myndigheter inom området säkra kommunikationer. Signalskyddstjänsten förhindrar att obehöriga får insyn i, eller kan påverka totalförsvarets telekom- munikationer. Signalskydd omfattar även användning av krypton i
Militära underrättelse- och säkerhetstjänsten (Must) vid Högkvar- teret leder och ansvarar för Försvarsmaktens verksamhetsområde underrättelse- och säkerhetstjänst. Vid Must finns ett säkerhetskon- tor, en säkerhetsunderrättelseavdelningen, en säkerhetsskyddsavdel- ningen och en avdelning för Krypto och
36Försvarsmakten har under 2019, med stöd av FRA, utvecklat sin förmåga att genomföra såväl defensiva som offensiva operationer mot en kvalificerad motståndare i cybermiljön (Samlad informations- och cybersäkerhetshandlingsplan
37FMV upphandlar efter beställning från Försvarsmakten system (signalskydd och krypto) av industrin.
122
SOU 2020:58 |
Cybersäkerhetscertifiering i Sverige |
bution Authority) med ansvar för kryptonyckelproduktion, distri- bution och materieluppföljning samt TA (Tempest Authority) med bedömningar och deltagande i EU ITTF. Avdelningen har vidare funktionen som AQUA (Appropriately Qualified Authority), dvs. godkänd andrapartsevaluerare av krypto inom EU.38
När det gäller
Försvarsmakten arbetar för internationell harmonisering av krav för informationssäkerhet. Detta görs genom samverkan för att dela och utveckla kunskap inom olika områden och för att samordna informationssäkerhetsåtgärder.40
5.8Säkerhetspolisen
Säkerhetspolisen är en säkerhetstjänst med ett nationellt uppdrag som polismyndighet. En av myndighetens uppgifter är enligt 3 § polis- lagen (1984:387) att fullgöra uppgifter enligt säkerhetsskyddslagen.
Säkerhetspolisen har, tillsammans med Försvarsmakten, det över- gripande tillsynsansvaret över säkerhetsskyddet hos de verksamhets- utövare, såväl myndihgeter som enskilda, som bedriver säkerhets- känslig verksamhet. Säkerhetspolisen får meddela föreskrifter inom sitt tillsynsområde.
Säkerhetspolisen ska på begäran lämna råd om säkerhetsskydd till Regeringskansliet, riksdagen och dess myndigheter och till Justitie- kanslern. Därutöver får myndigheten ge råd om säkerhetsskydd. Inom ramen för sin rådgivningsverksamhet har Säkerhetspolisen tagit fram vägledningar för att stödja de verksamhetsutövare som omfattas av säkerhetsskyddslagen.
38Det finns i dag fem svenska kryptosystem som godkänts av Europeiska unionens råd.
39Arbetet inbegriper bedömning och godkännande av säkerhetsfunktioner för Försvarsmaktens
40Samlad informations- och cybersäkerhetshandlingsplan
123
Cybersäkerhetscertifiering i Sverige |
SOU 2020:58 |
Beträffande informationssäkerhet har Säkerhetspolisen inom ramen för sin föreskriftsrätt föreskrivit om informationssäkerhet i infor- mationssystem.41
Som samrådsmyndighet verkar Säkerhetspolisen i vissa upphand- lingssituationer och vid förändring och idrifttagande av informations- system. Vidare är det Säkerhetspolisen som tar emot anmälningar vid säkerhetshotande händelser och verksamhet, bl.a.
Säkerhetspolisen ansvarar därutöver för att utföra registerkontroll vid säkerhetsprövning av personer vars anställning har placerats i säker- hetsklass eller som annars ska delta i säkerhetskänslig verksamhet.
5.9Datainspektionen
Datainspektionen bedriver bl.a. tillsyn för att säkerställa att männi- skors grundläggande fri- och rättigheter skyddas i samband med be- handling av personuppgifter. Datainspektionen är tillsynsmyndighet enligt GDPR och lagen (2018:218) om kompletterande bestämmel- ser till EU:s dataskyddsförordning. Myndigheten får även i enskilda fall besluta att andra än myndigheter får behandla vissa personupp- gifter. Myndigheten har varit remissinstans bl.a. avseende utveckling av standarder inom it- och informationssäkerhet.42
5.10Samverkansgruppen för informationssäkerhet
– SAMFI
Samverkansgruppen för informationssäkerhet, SAMFI, bildades 2003 i samband med en framtagen strategi för samhällets informations- säkerhet. I samband med att MSB bildades den 1 januari 2009 över- tog myndigheten ansvaret för SAMFI. SAMFI är en samarbetsgrupp som består av svenska myndigheter med av regeringen särskilt ut- pekat ansvar för informationssäkerhetsfrågor i samhället.43 MSB av-
41Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2).
42SOU 2010:25, s. 29.
43Se regeringens skrivelse Samhällets krisberedskap – stärkt samverkan för ökad säkerhet
(2009/10:124) som betonar betydelsen av gruppens arbete: ”SAMFI […] har en särskilt viktig roll då den syftar till att åstadkomma samverkan mellan de statliga myndigheter som har sär- skilda uppgifter på informationssäkerhetsområdet.”
124
SOU 2020:58 |
Cybersäkerhetscertifiering i Sverige |
sätter resurser för ett
Regeringen har 2018 fastställt en nationell strategi för samhällets informations- och cybersäkerhet. För att realisera denna strategi har SAMFI tagit fram en nationell handlingsplan för samhällets infor- mationssäkerhet. Nuvarande handlingsplan gäller åtgärder som ska vidtas under
44MSB, Nationell handlingsplan för samhällets informationssäkerhet, Slutrapport, mars 2016, s. 26.
125
6Behovet av kompletterande författningsreglering
Förslag: De nationella bestämmelser som behövs för att komplet- tera EU:s cybersäkerhetsakt och genomförandeakter ska samlas i en ny lag och i en ny förordning.
Regeringen eller berörda myndigheter ska bemyndigas att kunna utfärda föreskrifter.
Termer och uttryck i de nya författningarna ska ha samma be- tydelse som i EU:s cybersäkerhetsakt och genomförandeakter.
Bedömning: Det behövs inte några författningsåtgärder för att EU:s cybersäkerhetsakt ska bli direkt tillämplig i Sverige.
Flera artiklar i EU:s cybersäkerhetsakten förutsätter dock kompletterande nationell reglering och vissa artiklar i akten be- höver kompletteras med nationella bestämmelser för att dessa ska kunna tillämpas på ett effektivt sätt.
6.1Inledning
I utredningsdirektiven anges att utredningen ska föreslå de anpass- ningar och kompletterande författningsbestämmelser som EU:s cybersäkerhetsakt ger anledning till. Syftet är att säkerställa att den kompletterande nationella reglering som behövs finns på plats när hela förordningen börjar tillämpas den 28 juni 2021.
Bestämmelserna i EU:s cybersäkerhetsakt utgör ett nytt ramverk för cybersäkerhetscertifiering av
127
Behovet av kompletterande författningsreglering |
SOU 2020:58 |
dast tillämplig i den mån det inte finns några specifika bestämmelser med samma syfte, karaktär eller verkan i annan unionslagstiftning.
För att kunna bedöma vilka bestämmelser i EU:s cybersäkerhets- akt som behöver kompletteras av bestämmelser i svensk rätt har ut- redningen gjort en analys av den svenska lagstiftning som komplet- terar eller genomför cybersäkerhetsakten.
I följande kapitel redovisar utredningen, utifrån regleringen i EU:s cybersäkerhetsakt och resultatet av analysen, sina överväganden i fråga om utrymmet för och behovet av kompletterande nationell lag- stiftning.
6.2Utgångspunkter
I artikel 46.1 i EU:s cybersäkerhetsakt, som är en
Med stöd av artikel 49.7 får kommissionen anta genomförande- akter för europeiska ordningar för cybersäkerhetscertifiering.
Av EU:s cybersäkerhetsakt framgår det förfarande som kommis- sionen ska följa vid utarbetande och antagande av en europeisk ord- ning för cybersäkerhetscertifiering (genomförandeakt). En sådan ord- ning ska antas i enlighet med det granskningsförfarande som avses i artikel 66.2. Av artikeln 66.2 framgår att när det hänvisas till denna punkt ska artikel 5.4 b i förordning (EU) nr 182/2011 tillämpas.1
I förordning (EU) nr 182/2011 fastställs de allmänna principerna för genom vilka mekanismer
1Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fast- ställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter.
128
SOU 2020:58 |
Behovet av kompletterande författningsreglering |
EU:s cybersäkerhetsakt trädde i kraft den 27 juni 2019, dock ska vissa av artiklarna tillämpas först från den 28 juni 2021. EU:s cyber- säkerhetsakt och de europeiska ordningar för cybersäkerhetscerti- fiering (genomförandeakter) som utfärdas med stöd av akten är unionsrättsliga författningar som är bindande i sin helhet och direkt tillämpliga i varje medlemsstat. Någon europeisk ordning för cyber- säkerhetscertifiering (genomförandeakt) har – som tidigare angetts
–ännu inte fastställts, dock finns det tidigare angivna offentliggjorda utkastet till europeiska ordningar för cybersäkerhetscertifiering av
EU:s cybersäkerhetsakt ger medlemsstaterna rätt, men förskriver även en skyldighet, att vidta vissa åtgärder, bl.a. för att säkerställa att regelverket i det europeiska ramverket för cybersäkerhetscertifiering införs och tillämpas på ändamålsenligt och effektivt sätt. En med- lemsstat får dock inte vidta några särskilda åtgärder för att införliva de materiella bestämmelserna i det europeiska ramverket med natio- nell rätt. Det är endast då nationell rätt kan anses strida mot cyber- säkerhetsakten, då akten ger möjlighet eller föreskriver en skyldig- het att vidta lagstiftningsåtgärder på det nationella planet och då det behövs andra nationella åtgärder till stöd för regelverkets syfte, som ändringar i nationell rätt aktualiseras.
Som konstateras ovan förutsätter flera av artiklarna i EU:s cyber- säkerhetsakt att nationella kompletterande bestämmelser införs, bl.a. artiklarna 58, 64 och 65.
Av artikel 58.1 följer att medlemsstaterna ska utse en eller flera nationella myndigheter för cybersäkerhetscertifiering och som an- svariga för tillsynsuppgifterna i medlemsstaten.
Av artikel 64 följer att fysiska och juridiska personer ska ha rätt till effektiva rättsmedel i de fall som anges i bestämmelsen.
Av artikel 65 framgår att medlemsstaterna ska fastställa regler om sanktioner vid överträdelse av artiklarna
Detta innebär således att den svenska rättsordningen behöver kompletteras med nationell reglering på de områden som behandlas i följande kapitel. Formerna för och utformningen av det komplet- terande nationella regelsystemet behandlas i nästa avsnitt.
129
Behovet av kompletterande författningsreglering |
SOU 2020:58 |
6.3En ny lag och en ny förordning med kompletterande bestämmelser till EU:s cybersäkerhetsakt införs
EU:s cybersäkerhetsakt och europeiska ordningar för cybersäker- hetscertifiering (genomförandeakter) behöver som ovan anges kom- pletteras med nationella bestämmelser som bl.a. reglerar nationell myndighet för cybersäkerhetscertifiering, tillsynsverksamhet, sank- tioner och vissa processuella frågor.
Det finns olika sätt att utforma den nationella kompletterande regleringen som stöd för EU:s cybersäkerhetsakt i svensk rätt. Ett alternativ är genom ett samlat regelverk som specifikt avser det euro- peiska ramverket för cybersäkerhetscertifiering, dvs. genom en ny lag med en anslutande förordning.
Fördelarna med ett samlat regelverk för genomförandet är att det blir tydligt för myndigheter, enskilda och tillsynsmyndigheten vilken reglering som finns när det gäller ramverkets tillämpningsområde. Bestämmelser som behöver anpassas till en europeisk ordning för cybersäkerhetscertifiering kan då regleras i myndighetsföreskrifter. Regleringen blir heltäckande och ingen certifieringsordning riskerar att sakna den eventuella kompletterande reglering som kan behövas. Det blir också lättare att komplettera och ändra regelverket om ett sådant behov uppkommer. Vidare kan det underlätta tillämpningen, inte minst mot bakgrund av att myndigheter och enskilda kan komma att omfattas av det europeiska ramverkets tillämpning i flera med- lemsstater. En nackdel som kan uppkomma är att myndigheter och enskilda i vissa fall kan komma att behöva tillämpa olika regelverk för samma nätverk och informationssystem men med olika syften. För myndigheter och enskilda som även omfattas av andra
En kompletterande nationell reglering till det europeiska ram- verket för cybersäkerhetscertifiering bör ske genom ett samlat regel- verk. Ramverket innebär skyldigheter för både offentliga aktörer
130
SOU 2020:58 |
Behovet av kompletterande författningsreglering |
och enskilda och den kompletterande regleringen kan därför i vissa fall behöva ske i form av lag. Det bör därför införas en ny lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt. I vilken utsträckning det finns behov av bestämmelser i lag, förordning eller myndighetsföreskrifter behandlas löpande i delbetänkandets olika avsnitt. För att betona att den lag som utredningen föreslår endast utgör ett komplement till EU:s cybersäkerhetsakt bör den benämnas lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt.
Vissa av de bestämmelser som behövs för att komplettera EU:s cybersäkerhetsakt kan regeringen besluta om inom ramen för sin restkompetens. Det gäller exempelvis att utse en nationell myndig- het för cybersäkerhetscertifiering och bemyndiga en myndighet att meddela verkställighetsföreskrifter. Sådana bestämmelser kan lämpli- gen införas på förordningsnivå. Det bör därför införas en ny förord- ning med kompletterande bestämmelser till EU:s cybersäkerhetsakt.
Termer och uttryck i författningar ska ha samma betydelse som i EU:s cybersäkerhetsakt och genomförandeakter.
131
7Reglering av cybersäkerhetscertifiering
7.1Inledning
I utredningsdirektiven noteras att det europeiska ramverket för cyber- säkerhetscertifiering kommer att reglera den cybersäkerhetscertifier- ing som följer av EU:s cybersäkerhetsakt och en europeisk ordning för cybersäkerhetscertifiering som fastställts av kommissionen.
I direktiven framhålls att i dag bestämmer en producent själv om en produkt, tjänst eller process ska certifieras och i så fall vilket cer- tifieringsorgan som ska utföra certifieringen. Utgångspunkten – en- ligt direktiven – är att certifiering även i framtiden ska vara frivillig, oavsett om en europeisk ordning för cybersäkerhetscertifiering finns på plats eller inte. Detta är dock upp till varje medlemsstat att be- stämma. Den största skillnaden är att när en europeisk ordning för cybersäkerhetscertifiering finns på plats, får inte längre nationella cybersäkerhetscertifieringar utföras inom det område som täcks av den europeiska ordningen för cybersäkerhetscertifiering. När en euro- peisk ordning för cybersäkerhetscertifiering ska användas reglerar cybersäkerhetsakten vilka krav som ställs på certifieringen, certifier- ingsorganen och de leverantörer och leverantörer som innehar ett sådant certifikat. I direktiven görs bedömningen att det finns ett behov av att ta fram en nationell reglering som kompletterar EU:s cybersäkerhetsakt. Utredningens uppdrag i denna del är att lämna eventuella förslag som behövs för att komplettera cybersäkerhets- akten. Utredningen ska bl.a. analysera om det mot bakgrund av de krav som ställs i certifieringsordningar finns behov av kompletterande nationella bestämmelser när det gäller självbedömning av överens- stämmelse som utförs av tillverkare och leverantörer av
133
Reglering av cybersäkerhetscertifiering |
SOU 2020:58 |
Utredningen ska också analysera om det på motsvarande sätt finns behov av kompletterande bestämmelser för organ för bedöm- ning av överensstämmelse som med stöd av bl.a. artikel 56 utfärdar europeiska cybersäkerhetscertifikat avseende
Enligt direktiven ska utredningen även analysera och föreslå hur certifiering på assuransnivån ”hög” ska genomföras i Sverige och ut- reda om detta kan och bör regleras genom författning, varvid ut- gångspunkten är att FMV/CSEC ska ha en roll då det gäller denna typ av certifiering.
7.2Utgångspunkter
Syftet med kompletterande nationella bestämmelser är i första hand att bidra till ett ändamålsenligt och effektivt genomförande av det europeiska ramverket för cybersäkerhetscertifiering. Utgångspunk- ten för en analys är hur det regelverk som nationella bestämmelser är avsedda att komplettera är utformat. Mer grundläggande frågor om hur det europeiska ramverket för cybersäkerhetscertifiering kan be- dömas och formerna för kompletterande nationell reglering har tidi- gare behandlats i kapitel 6.
Med utgångspunkt i de ställningstaganden som redovisas i det kapitlet avgränsas frågan om behovet kompletterande bestämmelser i detta avsnitt till de frågor som kan bedömas uppkomma i verksam- het som avser självbedömning av överensstämmelse, dvs. utfärdande av
Vad gäller frågan hur cybersäkerhetscertifiering på assuransnivån ”hög” enligt artikel 56.6 ska genomföras i Sverige och om detta kan och bör regleras genom författning kan noteras att frågan rymmer såväl behörighetsfrågor som frågor om handläggningen av ärenden som avser sådana certifikat. Utredningen behandlar frågan om vilken myndighet/organ för bedömning av överensstämmelse som bör an- svara för dessa prövningar i anslutning till frågan om nationell myn- dighet för cybersäkerhetscertifiering i kapitel 8. Behovet av komplet- terande regler för handläggning och beslut av sådana organ behandlas i kapitel 11.
134
SOU 2020:58 |
Reglering av cybersäkerhetscertifiering |
Då EU:s cybersäkerhetsakt och de framtida bestämmelserna i de europeiska ordningarna för cybersäkerhetscertifiering har direkt effekt och ska tillämpas i medlemsstaterna uppkommer frågan i vilken ut- sträckning det finns behov av och möjlighet att införa av komplet- terande reglering på nationell nivå för utfärdande av
7.3Närmare om cybersäkerhetscertifiering
I detta avsnitt redogörs för hur det europeiska ramverket för cyber- säkerhetscertifiering är utformat, dvs. regleringen i EU:s cybersäker- hetsakt och vad som i akten anges ska framgå av en europeisk ord- ning för cybersäkerhetscertifiering.
Allmänt
Av artikel 54 framgår att en europeisk ordning för cybersäkerhets- certifiering ska innehålla minst de komponenter och regleringar som anges i artikeln (se kapitel 4). Utredningen bedömer att de olika euro- peiska ordningarna i betydande omfattning kommer att reglera såväl de olika krav som ska gälla vid själva bedömning av överensstämmelse som vid handläggningen av olika ärenden som omfattas av cyber- säkerhetsaktens tillämpningsområde.
Som tidigare framgått har ett utkast till en europeisk ordning för cybersäkerhetscertifiering av
Syftet med europeiska ordningar för cybersäkerhetscertifiering är att säkerställa att
135
Reglering av cybersäkerhetscertifiering |
SOU 2020:58 |
i syfte att skydda tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda eller behandlade upp- gifter eller de därmed sammanhängande funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, tjänster och processer under hela livscykeln. Samtidigt är det inte möjligt att i detalj fastställa cybersäkerhetskraven för alla
Europeiska ordningar för cybersäkerhetscertifiering kommer att bidra till att harmonisera cybersäkerhetsrutinerna inom unionen. De ska bidra till att öka cybersäkerheten inom unionen. Utformningen av europeiska ordningar för cybersäkerhetscertifiering bör även beakta och möjliggöra utveckling av innovationer på området cybersäkerhet.2
Europeiska ordningar för cybersäkerhetscertifiering bör även be- akta olika befintliga metoder för program- och maskinvaruutveckling och vilken inverkan uppdateringar av programvara och fast program- vara har på enskilda europeiska cybersäkerhetscertifikat. I de euro- peiska ordningarna för cybersäkerhetscertifiering bör det fastställas under vilka förhållanden en uppdatering kan kräva att en
1Skäl 75.
2Skäl 95.
136
SOU 2020:58 |
Reglering av cybersäkerhetscertifiering |
Allmänna eller sektorsspecifika cybersäkerhetsriktlinjer
För att öka medvetenheten och underlätta acceptansen för framtida europeiska ordningar för cybersäkerhetscertifiering får kommissio- nen utfärda allmänna eller sektorsspecifika cybersäkerhetsriktlinjer, t.ex. vad gäller god praxis för cybersäkerhet eller ansvarsfullt cyber- säkerhetsbeteende som belyser de positiva konsekvenserna av att använda certifierade
Europeiska ordningar för cybersäkerhetscertifiering kan möjlig- göra både självbedömning av överensstämmelse och certifiering för
Assuransnivåer
Assuransnivån för en europeisk certifieringsordning utgör förtro- endegrunden för att en
Varje europeiskt cybersäkerhetscertifikat kan avse någon av assu- ransnivåerna ”grundläggande”, ”betydande” eller ”hög”, medan EU- försäkran om överensstämmelse endast kan avse assuransnivån ”grund- läggande”.
Assuransnivåerna avspeglar motsvarande stringens och djup i fråga om utvärdering av
3Skäl 80.
137
Reglering av cybersäkerhetscertifiering |
SOU 2020:58 |
Utvärderingskriterier
En europeisk ordning för cybersäkerhetscertifiering kan ha flera utvärderingsnivåer beroende på hur stringent och djupgående utvär- deringsmetoden är. Utvärderingsnivåer ska motsvara en av assurans- nivåerna och vara kopplad till en lämplig kombination av assurans- komponenter.
För samtliga assuransnivåer bör
För assuransnivån ”grundläggande” bör utvärderingen omfatta minst följande assuranskomponenter: I utvärderingen bör det åtmin- stone ingå en översyn av
För assuransnivån ”betydande” bör utvärderingen, utöver kraven för assuransnivån ”grundläggande”, omfatta en kontroll av överens- stämmelsen mellan
För assuransnivån ”hög” bör utvärderingen, utöver kraven för assuransnivån ”betydande”, omfatta ett effektivitetstest som bedömer resistensen hos
4Skäl 88.
5Skäl 89.
6Skäl 90.
138
SOU 2020:58 |
Reglering av cybersäkerhetscertifiering |
Självbedömning av överensstämmelse
Europeiska ordningar för cybersäkerhetscertifiering kan ge tillver- karen eller leverantören av
En
Tillverkaren eller leverantören av
7Skäl 79.
139
Reglering av cybersäkerhetscertifiering |
SOU 2020:58 |
och ska, i den mån det krävs för självbedömningen av överensstäm- melse, även innehålla en beskrivning av
Cybersäkerhetscertifikat efter bedömning av överensstämmelse
Ett europeiskt cybersäkerhetscertifikat utfärdas efter utvärdering av en
Bedömning av överensstämmelse och certifiering utgör inte i sig någon garanti för att certifierade
Valet av lämplig certifiering och därtill knutna säkerhetskrav av användarna av europeiska cybersäkerhetscertifikat grundas på en risk- analys som avser risker med användningen av
På vissa områden kan det bli nödvändigt att i framtiden införa särskilda krav på cybersäkerhet och göra cybersäkerhetscertifiering obligatorisk för vissa
8Skäl 77.
9Skäl 78.
140
SOU 2020:58 |
Reglering av cybersäkerhetscertifiering |
med jämna mellanrum följa upp vilka effekter antagna europeiska ordningar för cybersäkerhetscertifiering har på tillgången till säkra
Ansökan om certifiering av
När en europeisk ordning för cybersäkerhetscertifiering har antagits bör tillverkarna eller leverantörerna av
Organen för bedömning av överensstämmelse bör ackrediteras av ett nationellt ackrediteringsorgan, om de uppfyller vissa krav som fastställs i cybersäkerhetsakten. Ackrediteringen bör utfärdas för en period på högst fem år och bör kunna förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fort- farande uppfyller kraven.
Nationella ackrediteringsorgan bör begränsa, tillfälligt upphäva eller återkalla ackrediteringen av ett organ för bedömning av över- ensstämmelse om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet för bedömning av överensstämmelse strider mot denna förordning.11
Slutanvändarens tillgång till information
10Skäl 92.
11Skäl 97.
141
Reglering av cybersäkerhetscertifiering |
SOU 2020:58 |
eller varit föremål för en
I tillämpliga fall kan slutanvändaren få vägledning om åtgärder och inställningar som denne kan genomföra för att underhålla eller öka cybersäkerheten för
Information om
Enisa ska upprätthålla en webbplats med information om och offent- liggörande av europeiska ordningar för cybersäkerhetscertifiering som bör omfatta bland annat begäran om utarbetande av ett förslag till certifieringsordning samt den återkoppling som mottagits i den samrådsprocess som genomförs av Enisa i förberedelsefasen. Denna webbplats bör också tillhandahålla information om de europeiska cybersäkerhetscertifikaten och
12Skäl 93.
142
SOU 2020:58 |
Reglering av cybersäkerhetscertifiering |
För att säkerställa enhetliga villkor för tillämpningen av EU:s cybersäkerhetsakt har kommissionen fått genomförandebefogen- heter,13 som ska utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011.
7.4Behov av kompletterande reglering
Utredningen kan notera att kommissionen i unionens löpande arbets- program kommer att fastställa strategiska prioriteringar för framtida europeiska ordningar för cybersäkerhetscertifiering. Även om något arbetsprogram ännu inte offentliggjorts har Enisa den 2 juli 2020 offentliggjort ett första utkast till en europeisk ordning för cyber- säkerhetscertifiering av
Utredningen noterar att den föreslagna ordningen utöver att när- mare ange vilka krav som ska uppfyllas för att ett cybersäkerhetscer- tifikat ska kunna utfärdas och villkor för innehav av ett certifikat även innehåller en detaljerad och omfattande reglering av bl.a. olika frågor som kan uppkomma i samband med handläggningen av en ansökan, utfärdande och underhåll av ett certifikat samt vad som gäller ett eventuellt återkallande av certifikatet. Samtidigt kan konstateras att eftersom några europeiska ordningar för cybersäkerhetscertifier- ing ännu inte formellt antagits eller fastställts och att endast det angivna utkastet till en sådan ordning offentliggjorts föreligger en betydande osäkerhet om behovet av nationell reglering på området.
Utredningen gör ändå bedömningen att EU:s cybersäkerhetsakt förutsätter och ger utrymme för att för att med en tillräcklig grad av säkerhet lämna förslag om kompletterande reglering när behov av sådan bedöms föreligga. Utredningen gör samtidigt bedömningen att utrymmet för berörda myndigheter att meddela kompletterande före- skrifter på området i dagsläget blir begränsat då eventuella myndig-
13Skäl 106.
143
Reglering av cybersäkerhetscertifiering |
SOU 2020:58 |
hetsföreskrifter måste beakta den framtida unionsrättens reglering på området.
Utredningen behandlar i avsnittet nedan frågan om behovet av kompletterande nationella bestämmelser för
7.4.1
Bedömning: Den som utfärdar en
Regeringen eller den myndighet som regeringen bestämmer bör ha möjlighet att meddela föreskrifter om hur anmälnings- skyldigheten, skyldigheten att ge tillgång till dokumentationen enligt artikel 53.3 och skyldigheten att lämna kompletterande cybersäkerhetsinformation enligt artikel 55.1 ska fullgöras.
Av artikel 53.1 i EU:s cybersäkerhetsakt framgår att en europeisk ordning för cybersäkerhetscertifiering kan ge utrymme för en till- verkare eller leverantör av
Iartikel 53.2 anges att tillverkaren eller leverantören av
Vidare anges i artikel 53.3 att tillverkaren eller leverantören av
144
SOU 2020:58 |
Reglering av cybersäkerhetscertifiering |
avses i artikel 58 tillgång till
Av artikel 55.1 följer att tillverkaren eller leverantören av IKT- produkter,
Utredningen kan notera att den som utfärdar en
Utredningen anser att det på motsvarande sätt finns behov av att även den nationella myndigheten för cybersäkerhetscertifiering (se kapitel 8), som ansvarar för tillsyn enligt artikel 58, får kännedom om att en EU försäkran enligt en europeisk certifieringsordning har utfärdats. EU:s cybersäkerhetsakt innehåller inga bestämmelser om skyldighet för en tillverkare eller leverantör som utfärdar en
Utredningen bedömer att vikten av att den nationella myndig- heten för cybersäkerhetscertifiering ges rimliga förutsättningar att kunna fullgöra sin tillsynsuppgift väger tyngre än den börda som anmälningsskyldigheten innebär för de tillverkare och leverantörer som utfärdar en
145
Reglering av cybersäkerhetscertifiering |
SOU 2020:58 |
för skäl att ålägga tillverkare och leverantörer som utfärdar en EU- försäkran att anmäla detta till den angivna myndigheten. Det finns även ett behov av att närmare reglera formerna för hur detta ska gå till. Regeringen eller de myndigheter som regeringen bestämmer bör där- för kunna meddela föreskrifter om hur denna anmälningsskyldighet ska fullgöras. Det ska samtidigt betonas att en självklar utgångspunkt i detta sammanhang är att myndigheten inte begär in fler uppgifter än vad som krävs för att den ska få kännedom om att en
Myndigheterna bör även kunna meddela föreskrifter om hur skyl- digheten att lämna kompletterande cybersäkerhetsinformation enligt artikel 55.1 ska fullgöras.
Utredningen kan i detta sammanhang samtidigt konstatera att avsaknaden av en fastställd europeisk ordning för cybersäkerhets- certifiering som ger utrymme för och, i sådant fall, närmare anger omfattningen för när en självbedömning av överensstämmelse som medför att en
146
SOU 2020:58 |
Reglering av cybersäkerhetscertifiering |
kompletterande föreskrifter för vad som ska gälla för självbedöm- ning av överensstämmelse och utfärdande av en
En självbedömning av överensstämmelse grundas på – utöver vad som anges i en europeisk ordning för cybersäkerhetscertifiering – även på olika standarder och tekniska krav, m.m. som förutsätter expertkunskap på området. Den nationella myndigheten för cyber- säkerhetscertifiering bör därför samråda och samverka med andra berörda myndigheter och andra aktörer, bl.a. i näringslivet, vid fram- tagande av föreskrifter som meddelas av myndigheten.
Utredningen kan också notera att avsaknaden av fastställda euro- peiska ordningar som ger utrymme för självbedömning av överens- stämmelse av
Frågan om myndigheternas eventuella resursbehov med anled- ning av införandet av det europeiska ramverket för cybersäkerhets- certifiering behandlas närmare i kapitel 8 respektive 14.
Frågan om vilka bestämmelser för handläggning av ärenden som rör självbedömning av överensstämmelse, dvs. utfärdande av
7.4.2Utfärdande och innehav av europeiska cybersäkerhetscertifikat
Bedömning: Den som utfärdar ett europeiskt cybersäkerhets- certifikat enligt artikel
Regeringen eller den myndighet som regeringen bestämmer bör ha möjlighet att meddela föreskrifter om utfärdande av cyber- säkerhetscertifikat enligt artikel
147
Reglering av cybersäkerhetscertifiering |
SOU 2020:58 |
Av artikel 56.1. framgår att
Ett cybersäkerhetscertifikat som avser assuransnivå ”grundläg- gande” eller ”betydande” får utfärdas av ett organ för bedömning av överensstämmelse på grundval av de kriterier som anges i en euro- peisk ordning för cybersäkerhetscertifiering.
I artikel 60.1 föreskrivs att ett sådant organ för bedömning av överensstämmelse ska vara ackrediterat av det nationella ackredite- ringsorgan som utsetts i enlighet med förordning (EG) nr 765/2008, dvs. Swedac, när det gäller ackreditering av organ för bedömning av överensstämmelse som bedriver verksamhet i landet. En ackrediter- ing får dock endast utfärdas under förutsättning att det angivna organet för bedömning av överensstämmelse uppfyller de krav som anges i bilagan till EU:s cybersäkerhetsakt. Om en europeisk ordning för cybersäkerhetscertifiering innehåller särskilda eller ytterligare krav enligt artikel 54.1 f ska endast sådana organ för bedömning av överensstämmelse som uppfyller dessa krav bemyndigas av den natio- nella myndigheten för cybersäkerhetscertifiering att utföra uppgifter inom ramen för sådana ordningar.
Av artikel 56.5 följer att en europeisk ordning för cybersäkerhets- certifiering kan föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett resultat av den ordningen endast får utfärdas av ett offent- ligt organ som ska vara
–en nationell myndighet för cybersäkerhetscertifiering som avses i artikel 58.1, eller
–ett offentligt organ som är ackrediterat som organ för bedömning av överensstämmelse i enlighet med artikel 60.1.
Om ett europeiskt cybersäkerhetscertifikat ska utfärdas av en natio- nell myndighet för cybersäkerhetscertifiering enligt artikel 56.5 a ska certifieringsorganet vid den nationella myndigheten för cyber- säkerhetscertifiering vara ackrediterat som ett organ för bedömning av överensstämmelse enligt artikel 60.1.
148
SOU 2020:58 |
Reglering av cybersäkerhetscertifiering |
Av artikel 56.6 följer att om en europeisk ordning för cybersäker- hetscertifiering kräver assuransnivå ”hög” får det europeiska cyber- säkerhetscertifikatet endast utfärdas av en nationell myndighet för cybersäkerhetscertifiering eller av ett organ för bedömning av över- ensstämmelse efter förhandsgodkännande av den nationella myndig- heten för cybersäkerhetscertifiering för varje enskilt europeiskt cybersäkerhetscertifikat som utfärdas av det organet för bedömning av överensstämmelse.
Den nationella myndigheten för cybersäkerhetscertifiering får även genom en på förhand allmän delegering ge uppgiften att utfärda ett sådant europeiskt cybersäkerhetscertifikat till ett organ för be- dömning av överensstämmelse. Även i detta fall gäller att om ett europeiskt cybersäkerhetscertifikat ska utfärdas av en nationell myn- dighet för cybersäkerhetscertifiering ska certifieringsorganet vid den nationella myndigheten för cybersäkerhetscertifiering vara ackre- diterad som ett organ för bedömning av överensstämmelse enligt artikel 60.1.
I artikel 56.7 anges att en fysisk eller juridisk person som lämnar in sina
Vidare följer av artikel 56.8 att innehavaren av ett europeiskt cyber- säkerhetscertifikat ska informera den myndighet eller det organ som avses i punkt 7 om alla sårbarheter eller oriktigheter som upptäcks senare och som rör säkerheten för den certifierade
Den myndigheten eller det organet ska utan onödigt dröjsmål vidarebefordra denna information till den berörda nationella myn- digheten för cybersäkerhetscertifiering.
I det offentliggjorda utkastet till europeisk cybersäkerhetsordning för
149
Reglering av cybersäkerhetscertifiering |
SOU 2020:58 |
Den föreslagna regleringen omfattar således att endast
När det gäller frågan om det föreligger behov av kompletterande nationell reglering för handläggningen och prövningen i ärenden som avser ansökan, utfärdande, underhåll och återkallande av euro- peiska cybersäkerhetscertifikat som kan komma att utfärdas med stöd att vad som anges i EU:s cybersäkerhetsakt och det nu offent- liggjorda utkastet med förslag till europeisk ordning för cybersäker- hetscertifiering av
Inledningsvis kan noteras att det offentliggjorda förslaget till euro- peisk certifieringsordning är ett förslag, vilket innebär att vad som där anges kan komma att ändras i den ordning som slutligen kan komma att fastställas. På motsvarande sätt som när det gäller avsaknaden av en fastställd europeisk ordning för självbedömning av överensstäm- melse innebär avsaknaden av en fastställd europeisk ordning för cybersäkerhetscertifiering osäkerhet om behovet av kompletterande nationell reglering på området.
Av samma skäl och på motsvarande sätt som gäller för den som utfärdar en
När det gäller vad som anges i artikel 56.5, dvs. att ett europeiskt cybersäkerhetscertifikat i vissa fall endast får utfärdas av en nationell myndighet för cybersäkerhetscertifiering eller ett offentligt organ som är ackrediterat som organ för bedömning av överensstämmelse, behövs inte någon kompletterande reglering. Vilken myndighet som enligt utredningens bedömning ska ha till uppgift att vara nationell myndighet för cybersäkerhetscertifiering enligt artikel 56.5 behand- las i kapitel 8.
150
SOU 2020:58 |
Reglering av cybersäkerhetscertifiering |
När det gäller regleringen i artikel 56.6 att ett certifikat som kräver högsta assuransnivån endast får utfärdas av en nationell myndighet för cybersäkerhetscertifiering eller av ett organ för bedömning av överensstämmelse efter förhandsgodkännande för varje enskilt euro- peiskt cybersäkerhetscertifikat eller genom en på förhand allmän delegering av uppgiften till ett organ för bedömning av överensstäm- melse, gör utredningen följande överväganden.
Bestämmelsen ger utrymme för medlemsstaterna att i nationell rätt närmare reglera i vilka fall som ett förhandsgodkännande och en delegering ska vara möjlig. Utgångspunkten är att det är fråga om förhandsgodkännande i varje enskilt fall alternativt en allmän dele- gering av rätten att utfärda ett europeiskt cybersäkerhetscertifikat på högsta assuransnivån. Det är således fråga om cybersäkerhetscerti- fiering av
Utredningen anser att det i första hand bör ankomma på den natio- nella myndigheten för cybersäkerhetscertifiering att besluta om i vilka fall det är möjligt och lämpligt att i det enskilda fallet överlåta rätten att utfärda ett cybersäkerhetscertifikat på högsta assurans- nivån till ett fristående organ för bedömning av överensstämmelse. Det förutsätter emellertid att det aktuella organet är ackrediterat för denna verksamhet, dvs. utöver vad som i allmänhet gäller för själva ackrediteringen även möter de övriga krav som anges i EU:s cyber- säkerhetsakt och motsvarande europeiska ordning för cybersäkerhets- certifiering.
Utredningen gör sammantaget bedömningen att det inte före- ligger behov av kompletterande lagreglering för utfärdande och inne- hav av europeiska cybersäkerhetscertifikat. I kapitel 8 lämnas förslag på den myndighet som enligt utredningens bedömning bör ha till uppgift att vara nationell myndighet för cybersäkerhetscertifiering, bl.a. enligt artikel 56.5 och 6.
151
8Nationell myndighet
för cybersäkerhetscertifiering
8.1Inledning
Utredningen har enligt kommittédirektivet i uppdrag att föreslå vilken befintlig myndighet som ska få i uppdrag att vara nationell myndig- het för cybersäkerhetscertifiering med uppgift att övervaka de skyldig- heter som följer av det europeiska ramverket för cybersäkerhetscerti- fiering och även ta ställning till hur myndighetens organisation kan komma att påverkas. Enligt direktiven kommer det vid myndigheten
–som kommer att ha ett särskilt ansvar för utfärdande av certifikat på den högsta assuransnivån – att samlas känslig information om cyber- säkerheten i
8.2Det europeiska ramverket för cybersäkerhetscertifiering
Nationell myndighet för cybersäkerhetscertifiering
Av artikel 58.1 i EU:s cybersäkerhetsakt framgår att en eller flera nationella myndigheter för cybersäkerhetscertifiering ska fullgöra de uppgifter som framgår av det europeiska ramverket för cybersäker- hetscertifiering, dvs. cybersäkerhetsakten och de olika europeiska
153
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
ordningar för cybersäkerhetscertifiering som kommer att antas med stöd av akten (genomförandeakter).
Eftersom uppgifterna enligt EU:s cybersäkerhetsakt är grund- läggande för vilken eller vilka myndigheter som kan komma ifråga som nationell myndighet för en eller flera av uppgifter finns skäl att närmare redogöra för vad dessa uppgifter innebär eller kan komma att innebära. Redogörelsen följer i tillämpliga delar strukturen i cyber- säkerhetsakten.
Självbedömning av överensstämmelse enligt artikel 53
En europeisk ordning för cybersäkerhetscertifiering kan ge tillver- karen eller leverantören av
Cybersäkerhetscertifiering enligt artikel 56.5
I artikel 56.4 anges att de organ för bedömning av överensstämmelse som avses i artikel 60 får utfärda europeiska cybersäkerhetscertifikat på assuransnivå ”grundläggande” eller ”betydande”.
Av artikel 56.5 följer att en europeisk ordning för cybersäkerhets- certifiering kan föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett resultat av den ordningen endast kan utfärdas av ett offent- ligt organ. Ett sådant organ ska vara antingen en nationell myndighet för cybersäkerhetscertifiering som avses i artikel 58.1 eller ett offent- ligt organ som är ackrediterat som organ för bedömning av överens- stämmelse i enlighet med artikel 60.1. Det innebär att det endast är den nationella myndigheten för cybersäkerhetscertifiering eller ett annat offentligt ackrediterat organ, dvs. en annan myndighet, som är behörig att utfärda det aktuella certifikatet.
154
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
Cybersäkerhetscertifiering enligt artikel 56.6
I artikel 56.6 föreskrivs att om en europeisk ordning för cybersäker- hetscertifiering kräver assuransnivå ”hög” får det europeiska cyber- säkerhetscertifikatet enligt den ordningen endast utfärdas av en nationell myndighet för cybersäkerhetscertifiering eller, i följande fall, av ett organ för bedömning av överensstämmelse:
a)Efter förhandsgodkännande av den nationella myndigheten för cybersäkerhetscertifiering för varje enskilt europeiskt cybersäker- hetscertifikat som utfärdats av ett organ för bedömning av över- ensstämmelse.
b)Efter allmän delegering på förhand av uppgiften att utfärda ett sådant europeiskt cybersäkerhetscertifikat till ett organ för bedöm- ning av överensstämmelse från den nationella myndigheten för cybersäkerhetscertifiering.
När artikel 56.6 är tillämplig, dvs. när en europeisk ordning för cyber- säkerhetscertifiering kräver assuransnivå ”hög” är det en nationell myndighet för cybersäkerhetscertifiering som får utfärda ett cyber- säkerhetscertifikat på den nivån. Myndigheten har dock möjlighet att på förhand delegera rätten att utfärda certifikatet till ett angivet ackrediterat organ för bedömning av överensstämmelse eller besluta om en allmän delegering av den uppgiften till ett sådant organ för bedömning av överensstämmelse. Det är således den nationella myn- digheten för cybersäkerhetscertifiering som har rätt att besluta om vilken aktör som får utfärda ett cybersäkerhetscertifikat på högsta assuransnivån.
Kontroll och övervakning enligt artikel 58 (tillsyn)
I artikel 58 anges vilka uppgifter som nationella myndigheter för cybersäkerhetscertifiering ska ha. En sådan myndighet ska bl.a.
–övervaka och kontrollera efterlevnaden av bestämmelserna i euro- peiska ordningar för cybersäkerhetscertifiering enligt artikel 54.1 j för övervakning av
155
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
–kontrollera att tillverkare eller leverantörer av
–aktivt bistå och stödja de nationella ackrediteringsorganen med övervakning och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse i enlighet med förordningen,
–övervaka och kontrollera den verksamhet som bedrivs av de offent- liga organ som avses i artikel 56.5,
–utfärda bemyndiganden för organ för bedömning av överens- stämmelse i enlighet med artikel 60.3 och begränsa, tillfälligt upp- häva eller återkalla befintliga bemyndiganden om organen för bedömning av överensstämmelse inte uppfyller kraven i förord- ningen,
–behandla klagomål avseende europeiska cybersäkerhetscertifikat som utfärdats av nationella myndigheter för cybersäkerhetscerti- fiering eller europeiska cybersäkerhetscertifikat som utfärdats av organ för bedömning av överensstämmelse i enlighet med arti- kel 56.6, eller avseende en
–lämna en årlig sammanfattande rapport om den verksamhet som bedrivits enligt leden b, c och d eller enligt punkt 8 till Enisa och europeiska gruppen för cybersäkerhetscertifiering,
–samarbeta med andra nationella myndigheter för cybersäkerhets- certifiering eller andra myndigheter, bland annat genom att utbyta information om
–övervaka relevant utveckling på området för cybersäkerhetscerti- fiering.
156
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
8.3Nationell myndighet för cybersäkerhetscertifiering
Förslag: Försvarets materielverk (FMV) ska utses till nationell myndighet för cybersäkerhetscertifiering.
Myndighetens certifieringsorgan ska vara nationell myndighet för cybersäkerhetscertifiering enligt artikel 56.5 a och 56.6 i EU:s cybersäkerhetsakt.
Myndigheten ska i sin verksamhet beakta nationella säkerhets- intressen vid tillämpningen av EU:s cybersäkerhetsakt.
Uppgifterna för en eller flera nationella myndigheter för cyber- säkerhetscertifiering enligt EU:s cybersäkerhetsakt innefattar sam- mantaget omvärldsbevakning av frågor som rör cybersäkerhet och cybersäkerhetscertifiering av
Frågor som rör cybersäkerhetscertifiering inom ramen för cyber- säkerhetsaktens tillämpningsområde omfattar
Utgångspunkter
Utgångspunkterna för utredningens överväganden i frågan om vilken myndighet som ska anförtros uppgiften att vara nationell myndighet för cybersäkerhetscertifiering är – utöver de krav som anges i cyber- säkerhetsakten – även den nationella utformningen och regleringen av verksamhet inom informations- och kommunikationsteknik i förening med de riktlinjer som anges i utredningsdirektiven.
157
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
Uppgifterna som den nationella myndigheten ska ansvara för ställer höga krav på att myndigheten och berörd personal besitter en bred och teknisk kunskap1 om och erfarenhet av kontroll och certi- fiering av
En viktig utgångspunkt för utredningens överväganden i denna del blir att identifiera de uppgifter och ansvarsområden inom om- rådet för informations- och cybersäkerhet som aktuella befintliga myndigheter har i dag och som kan bedömas underlätta för den be- rörda myndigheten att fullgöra de uppgifter som följer av cyber- säkerhetsakten.
I detta sammanhang ska beaktas den verksamhet som planeras och är under uppbyggnad i det svenska nationella cybersäkerhets- centret, vilket bl.a. har till uppgift att underlätta samverkan mellan berörda myndigheter på informations- och cybersäkerhetsområdet. Myndigheterna FMV, FRA, Försvarsmakten, MSB, Polismyndig- heten, PTS och Säkerhetspolisen förbereder för närvarande etable- randet av det nationella cybersäkerhetscentret. Cybersäkerhets- centret ska stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera antagonistiska cyberhot mot Sverige. Centret ska även ge ett utvecklat och samordnat stöd till olika aktörer i offentlig och privat sektor om hur de kan skydda sig mot cyberattacker. Arbetet sker i form av ett gemensamt etableringsprojekt och verksamheten i centret kommer att utvecklas stegvis de kommande åren.
I detta sammanhang bör även beaktas förslaget om att ett euro- peiskt kompetenscenter för cybersäkerhet ska inrättas och där med- lemsstaternas behöriga myndigheter kommer att erbjudas att delta.
En annan utgångspunkt är att uppgifter och ansvar, t.ex. vad gäller tillsyn, inom informations- och cybersäkerhetsområdet i dag är fördelade på flera myndigheter inom olika samhällssektorer, bl.a. gäller det
När det gäller frågan om förutsättningarna för att etablera en till- synsfunktion inom ramen för den nationella myndigheten för cyber-
1Även juridisk kunskap är viktig i sammanhanget, inte minst då myndigheten kommer att delta i framtagandet av genomförandeakter under cybersäkerhetsakten.
158
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
säkerhetscertifiering bör – förutom de krav som anges i EU:s cyber- säkerhetsakt – även beaktas bl.a. de principiella uttalanden som regeringen gjort i skrivelsen 2009/10:79 En tydlig, rättssäker och effek- tiv tillsyn.2
Uppdraget i denna del innebär att utredningen ska lämna förslag på ett nationellt system med myndighetsansvar för de uppgifter som följer av cybersäkerhetsakten. Utredningen tolkar direktivens anvis- ning om att förslaget ska utgå från en befintlig myndighet som att de olika uppgifter, roller, och ansvarsområden som enligt cybersäker- hetsakten ska finnas på nationell nivå i och för sig kan fördelas på en eller flera befintliga myndigheter om det är mer ändamålsenligt och effektivt med en sådan lösning.
Inhämtade synpunkter
Utredningen har i skriftlig enkät i juni 2020 givit berörda myndig- heter möjlighet att lämna synpunkter på vilken befintlig myndighet som bör vara nationell myndighet för cybersäkerhetscertifiering och om förutsättningarna att organisera certifieringsorgan och tillsyns- funktion i samma myndighet. Utredningen har efter att skriftliga svar lämnats haft möten med berörda myndighetsledningar för att inhämta ytterligare information och synpunkter i dessa två frågor.
Försvarsmakten framhåller att det finns många urvalskriterier som är av betydelse för att bedöma vilken myndighet som bör ges upp- giften att vara certifierande myndighet, bl.a. teknisk kompetens, kom- petensförsörjning och förståelse för hotbilden. Myndigheten bedömer att FMV har bäst förutsättningar att bygga och vidmakthålla den för- mågan över tiden. FMV har vidare värdefulla erfarenheter från det arbete som bedrivs i dag. Myndigheten anser vidare att det är främst FMV respektive MSB som bör komma ifråga för uppgiften som till- synsmyndighet. Det är samtidigt tveksamt om man bör samla certi- fieringsfunktion och tillsynsansvar hos samma myndighet. I nuläget överväger dock fördelarna med att samla båda funktionerna i en myndighet. De två funktionerna måste dock vara autonoma och väl separerade i förhållande till varandra. Om en tvåmyndighetslösning
2Se även Tillsynsutredningens delbetänkande Statlig tillsyn – Granskning på medborgarnas uppdrag (SOU 2002:14).
159
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
övervägs bedöms MSB vara den myndighet som har bäst förutsätt- ningar att utgöra tillsynsmyndighet.
Försvarets materielverk (FMV) anger att myndigheten ser flera möjliga myndigheter som kan få ansvar för cybersäkerhetscerti- fiering, även om det finns både för- och nackdelar i samtliga fall. FMV:s huvuduppdrag och kärnverksamhet är att upphandla varor och tjänster för Försvarsmaktens behov. I detta ingår produkter som är, eller kan vara, certifierade. Det finns konstitutionella utmaningar att organisera de uppgifter som följer av EU:s cybersäkerhetsakt, var och en med olika och eventuellt motstridiga verksamhetsmål, inom ramen för samma myndighet. Myndigheten ser en utmaning med att både certifieringsverksamhet och tillsyn skulle hanteras inom ramen för myndighetens organisation. Ifall en sådan konstruktion förordas bör ledning kunna hämtas från hur den militära flyginspektionen i Försvarsmakten är organiserat. Den är en fristående enhet organise- rad i Försvarsmaktens Högkvarter och lyder direkt under regeringen i frågor om tillsyn. I övriga frågor lyder militära flyginspektionen under överbefälhavaren. Verksamheten leds av en flygsäkerhetsinspek- tör.3 Om tillsynsverksamheten organiseras inom myndigheten enligt en sådan modell kan kravet på oberoende mötas. I sammanhanget kan uppmärksammas alternativet med en nämndmyndighet med myn- digheten som värdmyndighet.4 En sådan organisation skulle i större utsträckning möta krav på oberoende. Myndigheten framhåller även att myndigheten i sin roll som nationell industrisäkerhetsmyndighet sedan många år är medlem i internationella forum för industrisäker- het, där det drivs gemensamt arbete med att ta fram ramverk inom cybersäkerhet för skydd av säkerhetsskyddsklassificerad informa- tion till stöd för industrin. FMV är den myndighet i Sverige som tecknar flest säkerhetsskyddsavtal, såväl nationellt som internatio- nellt, där man i dagsläget har cirka 1 500 säkerhetsskyddsavtal med företag, varav cirka 150 är s.k. nivå 1 avtal som omfattar drygt 2 000 registerkontrollerade anställda i företagen. En möjlig myndighet är även MSB, med sin roll som samordnande myndighet i informations- och cybersäkerhetsfrågor samt med föreskriftsrätt för statliga myn- digheter rörande informationssäkerhet. En annan möjlig myndighet
3I 21 a § förordningen (2007:1266) med instruktion för Försvarsmakten anges att när flyg- säkerhetsinspektören utövar sin tillsynsfunktion över militär luftfart är flygsäkerhetsinspek- tören inte underställd överbefälhavaren. Motsvarande reglering finns i 21 § angående Försvars- inspektören för hälsa och miljös tillsynsansvar.
418 § myndighetsförordningen (2007:515).
160
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
är PTS som har erfarenhet av tillsynsfrågor och har även en utpekad roll när det gäller den s.k.
Försvarets radioanstalt (FRA) framhåller att vid FMV finns redan det nationella certifieringsorganet för
Myndigheten för samhällsskydd och beredskap (MSB) anser att uppdraget att vara nationell myndighet för cybersäkerhetscertifiering i första hand bör i sin helhet bör ges till myndigheten. Myndigheten kan skapa positiva synergieffekter och säkerställa att resultatet av till- synsarbetet kan få direkt nytta i arbetet med att stärka samhällets in- formations- och cybersäkerhet. Myndigheten arbetar med många verk- tyg och med ett brett perspektiv på området. Arbetet inkluderar bland annat samordning och operativt arbete i enlighet med
161
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
eftersom uppgiften förutsätter god förståelse för internationellt stan- dardiseringsarbete samt innebär krav på att vara kontaktpunkt till både EU och Enisa. Myndigheten deltar inom standardiseringsarbetet på internationell och europeisk nivå. Dessutom är myndigheten natio- nell kontaktpunkt för en rad centrala samarbeten på EU nivå. Upp- giften som nationell myndighet för cybersäkerhetscertifiering förut- sätter omfattande samverkan med privata aktörer. Myndigheten har god vana av
Polismyndigheten framhåller bl.a. att FMV alternativt det nya nationella cybersäkerhetscentret är huvudkandidater till nationell myndighet för cybersäkerhetscertifiering. Centret, eller den myn- dighet som centret inryms i, bör få rollen att vara nationell myndig- het för cybersäkerhetscertifiering eftersom det krävs specialistkompe- tenser för att certifiera. Enligt Polismyndigheten kommer centret att ha etablerade kontaktytor mot exempelvis FRA, Säkerhetspolisen och MUST och genom dessa kunna erhålla relevant information om hotbild och sårbarheter i mjukvaruprodukter. Centret kommer också genom ett nära samarbete med den privata sektorn snabbt kunna fånga upp behov, feedback och annat som berör certifieringen.
Post och telestyrelsen (PTS) framhåller att myndigheten har i dag inte en tydlig roll i fråga om certifieringsorgan och tillsynsfunktion. Myndigheten berörs dock av EU:s cybersäkerhetsakt eftersom aktö- rer som myndigheten utövar tillsyn över kan komma att omfattas av kommande europeiska certifieringsordningar.5 För myndighetens del blir de europeiska certifieringsordningarna på de områden som myn- digheten har ett tillsynsansvar av betydelse inte bara avseende certi- fieringsordningarna utan även de säkerhetsstandarder som kraven baserar sig på. Certifieringsordningarna och säkerhetsstandarderna blir relevanta vid såväl tillsyn som vid utformning av föreskrifter inom myndighetens tillsynsområden. Myndigheten bedömer att FMV/ CSEC är den myndighet som är mest lämpad att vara certifierings- organ eftersom den myndigheten redan har uppgifter på området och som har en verksamhet som är närmast de uppgifter som ska utföras. FMV/CSEC bör ha bäst förutsättningar och kortast start-
5PTS har tillsynsansvar avseende lagen (2003:389) om elektronisk kommunikation, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster,
162
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
sträcka för uppdraget. FMV är även den myndighet som i dag har bäst kompetens och flest närliggande uppgifter för rollen som till- synsmyndighet. Om det går att skapa en tillsynsfunktion på FMV som är tillräckligt avskild och oberoende från såväl verksamheten som certifieringsorganisation som myndighetens övriga verksamhet som berör användning av certifierade produkter bedöms FMV vara mest lämpad även som tillsynsmyndighet. Om bedömningen är att FMV inte bör ha uppgifterna som både certifieringsorgan och till- synsmyndighet har PTS möjlighet att bygga upp en sådan tillsyns- funktion. Då det inte finns några direkta synergier med befintlig verksamhet på myndigheten skulle tillskott av resurser krävas och en längre startsträcka kan förväntas än om uppgiften läggs på FMV.
Säkerhetspolisen påpekar att den nationella myndigheten för cyber- säkerhetscertifiering får ett brett uppdrag. Den myndighet som pekas ut att bli nationell myndighet behöver ha en mycket bred kompetens och hög förmåga inom ett flertal områden, framför allt inom teknik och certifiering av
Totalförsvarets forskningsinstitut (FOI) påpekar att den framtida omfattningen av den nationella myndighetens arbete är svår att upp- skatta. Däremot bör konsekvenserna av att myndigheter i alla med- lemsstater säkerställer harmoniserade cybersäkerhetskrav för infor- mations- och kommunikationsteknologi (IKT) inte underskattas. Ansvaret för
163
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
ansvar kan effektiviseras. Myndigheten föreslår därför att tillsyn som avser certifikat med hög assuransnivå och som inbegriper säkerhets- skyddsklassificerade uppgifter eller informationssystem som gäller säkerhetskänslig verksamhet bör genomföras av de myndigheter som utövar tillsyn på området. Den nationella myndigheten eller myndig- heterna bör kunna arbeta på ett sådant sätt så att nationella säkerhets- intressen inte påverkas av rapporteringskraven eller andra aspekter av certifieringsordningarna. En myndighet med ansvar för certifier- ingsordningen måste ha god förmåga att hantera de informations- säkerhetsrisker som insamlandet av information om
Genomförandet av EU:s cybersäkerhetsakt i andra länder
Utredningen har i syfte att få en bild av hur EU:s cybersäkerhetsakt införs i jämförbara medlemsstater sökt information om bl.a. hur nationella myndigheter för cybersäkerhetscertifiering organiseras. Med hänsyn till den begränsade utredningstid som stått till förfog- ande och rådande omständigheter i omvärlden har utredningen haft begränsad möjlighet att göra en sedvanlig internationell utblick genom att inhämta uppgifter vid t.ex. myndighetsbesök i utlandet. Även möjligheten till sedvanlig kvalitetssäkring av erhållna uppgifter har påverkats. Utredningen har i första hand eftersökt information på berörda myndigheters officiella webbsidor. I bl.a. Finland6 och
6Den finska regeringen har lämnat en proposition till riksdagen (RP 98/2020 rd) med förslag till lagändringar med anledning av EU:s cybersäkerhetsakt. I lagförslaget utnämns det natio- nella Cybersäkerhetscentret vid Transport- och kommunikationsverket (Traficom) till natio- nell myndighet för cybersäkerhetscertifiering enligt cybersäkerhetsakten, både vad gäller funktionen att bevilja cybersäkerhetscertifikat på högsta assuransnivån och utövandet av till- syn. Cybersäkerhetsaktens krav på strikt åtskillnad mellan den nationella cybersäkerhetscer- tifieringsmyndighetens certifieringsverksamhet och samma myndighets tillsynsverksamhet bedöms leda till ett ökat resursbehov och kräva att Traficom omorganiseras. Den finska reger- ingen anser att de nya uppgifterna kan tilldelas den existerande organisationen, men inte att samma personer ska få bevilja certifikat på assuransnivån hög och samtidigt sköta tillsynsupp- gifter rörande anmälningar om överensstämmelse och kontrollorgan.
164
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
Nederländerna7 har förslag lämnats på kompletterande nationell lag- stiftning med anledning av EU:s cybersäkerhetsakt.
8.3.1Förslag på nationell myndighet för cybersäkerhetscertifiering
Mot bakgrund av bl.a. ovan angivna utgångspunkter bedömer utred- ningen att det finns följande möjliga alternativ för hur ansvaret att lösa de angivna uppgifterna kan organiseras.
•En och samma myndighet får i uppdrag att vara nationell myn- dighet för cybersäkerhetscertifiering och att etablera tillsyns- funktionen.
•En myndighet får i uppdrag att vara nationell myndighet för cybersäkerhetscertifiering och en annan fristående myndighet får i uppdrag att ansvara för den nationella tillsynsfunktionen.
•En ansvarig sektorsmyndighet får uppdraget att inom sin sektor vara nationell myndighet för cybersäkerhetscertifiering och även ansvara för myndighetens tillsynsfunktionen inom sektorn.
När det gäller frågan om det bör vara en eller flera myndigheter som ska ansvara för angivna uppgifter och verksamhetsområden gör ut- redningen bedömningen att uppgifterna som avser omvärldsbevak- ning, samverkan och ansvar för certifieringsverksamheten bör hållas samman i en myndighet, samtidigt som verksamheten förutsätter en nära samverkan med övriga berörda myndigheter med uppgifter och ansvar som berör informations- och cybersäkerhetsområdet. Frågan om den myndighet som ska vara nationell myndighet för cybersäker- hetscertifiering även bör ha ansvar för tillsynen av efterlevnaden av det europeiska ramverket för cybersäkerhetscertifiering behandlas i avsnitt 8.4.
7Regeringen i Nederländerna har föreslagit en ny lag för genomförande av EU:s cybersäker- hetsakt. Ministeriet för Ekonomi och Klimatpolitik föreslås utses till nationell myndighet för cybersäkerhetscertifiering. Enligt motiven till lagförslaget planerar ministeriet att lägga de uppgifter som följer av cybersäkerhetsakten på landets telestyrelse, Agentschap Telecom (se www.internetconsultatie.nl/uitvoeringswetcyberbeveiligingsverordening,
165
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
Vilken eller vilka befintliga nationella myndigheter som bör till- delas ansvaret att fullgöra en eller flera av uppgifterna bör grundas på de uppgifter och verksamhetsområden som aktuella myndigheter redan i dag ansvarar för eller om en myndighet kan bygga upp en ända- målsenlig och kostnadseffektiv verksamhet för att lösa uppgifterna.
Utredningen bedömer att med ovan angivna utgångspunkter bör uppgiften att vara nationell myndighet för cybersäkerhetscertifiering i första hand tilldelas en myndighet som redan arbetar med informa- tions- och cybersäkerhetsfrågor, och om möjligt även bedriver certi- fieringsverksamhet på området. Detta innebär att det främst är någon av de myndigheter som ingår i samverkansgruppen för informations- säkerhet (SAMFI) som kan komma ifråga för att tilldelas de upp- gifter och ansvarsområden som följer av cybersäkerhetsakten.
I kapitel 2 och 5 finns en närmare redogörelse för SAMFI myn- digheternas olika roller, uppgifter och ansvarsområden inom ramen för arbetet med att utveckla och stärka informations- och cyber- säkerheten i landet. Utöver dessa myndigheter bedriver Totalför- svarets forskningsinstitut (FOI) forsknings- och utvecklingsarbete på området. Det finns även andra myndigheter som i sin verksamhet hanterar informations- och kommunikationssäkerhet, dock bedöms ingen av dessa myndigheter bedriva sådan verksamhet att de bör vara aktuella för sådana uppgifter som ska anförtros den nationella myn- digheten för cybersäkerhetscertifiering.
Flera av de nu aktuella myndigheterna har utöver sina huvud - uppgifter vissa uppgifter med beröring till informations- och kom- munikationssäkerhet. Försvarsmakten, FRA, SÄPO, och Polisen har sina huvudsakliga roller och ansvar inom ramen för Sveriges för- svar och säkerhet och bedriver försvarsverksamhet, underrättelse- och säkerhetstjänst samt brottsbekämpning. Ingen av de sist nämnda myndigheterna, inte heller FOI, bedriver dock i dag sådan verksam- het som medför att det framstår som naturligt eller ändamålsenligt att tilldela en eller flera av dessa myndigheter ansvar för en eller flera av de uppgifter som följer genom cybersäkerhetsaktens införande i Sverige. En eller flera av dessa myndigheter kan dock komma att be- röras av frågor som rör cybersäkerhetscertifiering, t.ex. inom ramen för den egna verksamheten eller i egenskap av tillsynsmyndighet, vilket ställer krav på samverkan på nationell nivå mellan den myn- dighet som får ansvar att vara nationell myndighet för cybersäker-
166
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
hetscertifiering och andra berörda myndigheter. Frågan om behovet av utökad samverkan mellan myndigheterna behandlas i kapitel 13.
Utredningen bedömer därför att det i första hand är FMV, MSB och PTS som kan komma i fråga som nationell myndighet för cyber- säkerhetscertifiering.
Försvarets materielverk (FMV)
FMV:s huvudsakliga uppdrag är att biträda Försvarsmakten i planer- ingen av materiel- och logistikförsörjningen och med materielsystem- kunskap. Myndigheten biträder också med kompetens när det gäller vidmakthållande och upphandling och ansvarar för upphandling av bl.a. varor och tjänster inom materielförsörjningsområdet som inte omfattas av Försvarsmaktens egna upphandlingsansvar.
FMV har genom stärkt internationell samverkan bidragit till att ta fram ett ramverk för stöd till att hantera cyberhot, sårbarheter och motåtgärder, vilket kan användas av säkerhetsexperter inom både stat och näringsliv. Arbetet är ett resultat av ett samarbete inom Multi- national Industrial Security Working Group (MISWG) som arbetar med strategier för nationell cybersäkerhet, policyer för nationell industrisäkerhet och bästa praxis i detta sammanhang. Mot bakgrund av att flera av deltagarländerna i MISWG redan har motsvarande nationella modeller uppnås dessutom harmoniering på området.
FMV bedriver i dag verksamhet som kräver bred och djup kun- skap och teknisk kompetens inom ramen för verksamhet som Sveriges nationella certifieringsorgan för
167
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
CSEC behandlade cirka 30 certifieringar under 2019.8 Parallellt med detta arbete har certifieringsordningen utvecklats vidare i syfte att bli alltmer tydlig och göra arbetet mer effektivt. Vidare har CSEC genomfört tillsyn av två evalueringsföretag med licens att granska it- säkerhet i produkter inom ramen för certifieringsordningen. CSEC gav även stöd till MSB arbetet med att utarbeta säkerhetskrav för bl.a. säkra
FMV/CSEC har även uppdraget att ansvara för certifiering av anordningar för skapande av kvalificerade elektroniska underskrifter och anordningar för kvalificerade elektroniska stämplar enligt arti- kel 30 och 39 i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och be- trodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.
FMV/CSEC har således mångårig erfarenhet av certifiering inom informations- och cybersäkerhetsområdet och är i dag organiserat inom myndigheten för att möta de krav på oberoende som gäller för ett ackrediterat organ för bedömning.
Utredningen bedömer att FMV:s uppgifter och verksamhet med- för att myndigheten har både en omfattande och en djup teknisk kompetens inom olika verksamhetsområden, bl.a. inom området för informations- och cybersäkerhet samt inom området certifiering av
När det gäller frågan om tillsynsverksamhet kan noteras att FMV i dag inte har några formella tillsynsuppgifter. Samtidigt kan noteras att myndigheten är föreslagen att vara tillsynsmyndighet för en betydande del av verksamheter som bedriver säkerhetskänslig verk- samhet på försvarsmaterielområdet och som omfattas av regleringen för säkerhetsskydd. I betänkandet Kompletteringar till den nya säker-
8Exempel på certifieringsuppdrag är brandväggar, säkra skrivare, datadioder, Linux operativ- system och produkter för intrångsdetektering.
168
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
hetsskyddslagen (SOU 2018:82) föreslås FMV få ansvar för tillsyn över enskilda verksamhetsutövare inom området försvarsmateriel. Det föreslagna tillsynsområdet bedöms omfatta samtliga företag som levererar varor, tjänster och byggentreprenader samt logistik- tjänster kopplade till det militära försvarets förmåga, vilket bedöms omfatta alla leverantörer som myndigheten har tecknat säkerhets- skyddsavtal med. Inom tillsynsområdet finns också leverantörer som tecknat säkerhetsskyddsavtal med andra myndigheter i liknande syf- ten. Andra aktörer som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel kan vara företag som utvecklar koncept för framtida vapensystem eller teknik som väsentligen ska användas i ett militärt sammanhang, utan att det görs på uppdrag av en myndighet. Enligt vad som anges i betänkandet berörs mellan 1
Myndigheten för samhällsskydd och beredskap (MSB)
MSB bedriver redan i dag verksamhet med att utveckla och stödja informations- och cybersäkerheten i samhället (kapitel 5). MSB del- tar bl.a. aktivt i standardiseringsarbetet inom området informations- säkerhet. I sitt arbete med Common Criteria ger MSB, i samarbete med FMV, ut rekommendationer för användning av en skyddsprofil eller certifierad produkt. Förvaltningen av en referenslista över rekom- menderade skyddsprofiler kommer att ingå i myndighetens löpande arbete för vidareutveckling av stöd inom
MSB deltar också i internationella mötesforum samt bedriver om- världsbevakning kring
Myndigheten har också särskilda samordningsuppgifter för verk- samhet som omfattas av lagen om samhällsviktiga tjänster (NIS- direktivet). Till det kommer det arbete och de föreskrifter som myn- digheten tar fram för statliga myndigheters informationssäkerhets- arbete.
Myndigheten har också teknisk kompetens inom ramen för det arbete som bl.a. bedrivs vid
169
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
samt inom ramen för det stöd man lämnar till ledningsplatser och signalskydd.
MSB ska vidare enligt den nationella handlingsplanen ta fram och förankra en treårig handlingsplan för ett strategiskt och långsiktigt arbete med standardisering avseende systematiskt och riskbaserat informationssäkerhetsarbete. Åtgärden genomförs tillsammans med FMV/CSEC, berörda myndigheter och organisationer.
MSB har dock ingen djupare teknisk kompetens på området för produktcertifieringar och skulle därför behöva bygga upp, etablera och utveckla en sådan verksamhet. Ett alternativ till en sådan åtgärd skulle vara att överföra CSEC:s certifieringsverksamhet och ansvar som nationellt certifieringsorgan för
Samtidigt kan noteras att MSB till skillnad från FMV redan i dag bedriver tillsyn inom tilldelade ansvarsområden Myndighetens till- synsverksamhet bedrivs inom tre delområden som är tillsyn, tillsyns- vägledning och marknadskontroll.
Post- och telestyrelsen (PTS)
PTS är en myndighet med ansvar för elektronisk kommunikation och som sådan en mycket central aktör för säkerhetsarbete på detta område De europeiska certifieringsscheman som kan komma att
9Informations- och cybersäkerhet – i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23).
170
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
antas inom ramen för cybersäkerhetsakten kan förväntas omfatta all typ av informations- och kommunikationsteknologi (IKT) och som berör all samhällsverksamhet. Samtidigt kan noteras att myndigheten har begränsad erfarenhet av arbete med nu aktuella cybersäkerhets- certifieringar och saknar därmed den tekniska specialistkompetens som krävs på certifieringsområdet.
Utredningen gör bedömningen att PTS nuvarande roll, ansvar och verksamhet på elektronik- och telekommunikationsområdet, som inte innefattar aktuell certifieringsverksamhet, skulle medföra att myndigheten skulle behöva bygga upp en verksamhet med kom- petens och teknisk expertis som möter kraven i cybersäkerhetsakten på förmåga till omvärldsbevakning inom cybersäkerhet och cyber- säkerhetscertifiering, förmåga till samverkan inom området och för- måga att verka som nationell myndighet för cybersäkerhetscerti- fiering på högsta assuransnivån.
Försvarets materielverk föreslås utses till nationell myndighet för cybersäkerhetscertifiering
Utredningen kan till en början konstatera att såväl FMV/CSEC, som MSB och PTS har uppgifter och bedriver verksamhet inom området för informations- och kommunikationsteknologi (IKT). Utred- ningen bedömer samtidigt att finns både fördelar och nackdelar när det gäller vilken av dessa myndigheter som bör anförtros uppdraget att vara nationell myndighet med ansvar för de uppgifter som följer av det europeiska ramverket för cybersäkerhetscertifiering.
Till FMV:s fördel talar att myndigheten genom sitt uppdrag att bl.a. vara nationell myndighet för certifiering av system och pro- dukter inom
Även om MSB respektive PTS har redovisade uppgifter och an- svar inom informations- och kommunikationsteknologi bedriver ingen av dessa myndigheter verksamhet som innefattar prövning och teknisk bedömning för cybersäkerhetscertifiering, vilket innebär att
171
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
CSEC:s verksamhet skulle behöva föras över till en av dessa myndig- heter alternativt att motsvarande verksamhet skulle behöva byggas upp vid myndigheten. Även uppgifterna avseende omvärldsbevak- ning och samverkan på området skulle enligt utredningens bedöm- ning förutsätta att kompetens tillförs och byggs upp för att möta kraven på dessa områden enligt cybersäkerhetsakten. Kraven på orga- nisatoriska förändringar i form av ett överförande av CSEC till en av dessa myndigheter och ett ökat resursbehov för kompetensupp- byggnad bedömer utredningen inte medföra några fördelar i för- hållande till att motsvarande verksamhet utvecklas vid FMV.
Sammantaget talar det angivna för – enligt utredningens bedöm- ning – för att FMV bör anförtros uppgiften att vara nationell myndig- het för cybersäkerhetscertifiering för med ansvar för omvärldsbevak- ning, samverkan och certifieringsverksamhet på högsta assuransnivån. Det medför att myndigheten bör få uppdraget att vara den nationella myndigheten för cybersäkerhetscertifiering som anges i artikel 56.5 a, och 56.6. FMV får då i uppgift att vara den nationella myndighet som enligt artikel 56.6 får utfärda cybersäkerhetscertifikat när en euro- peisk ordning för cybersäkerhetscertifiering som antagits enligt arti- kel 49 kräver assuransnivå hög. Efter förhandsgodkännande av myn- digheten får ett sådant enskilt europeiskt cybersäkerhetscertifikat även utfärdas av ett organ för bedömning av överensstämmelse. Myn- digheten får även genom allmän delegering på förhand till ett organ för bedömning av överensstämmelse ge detta tillstånd att utfärda europeiskt cybersäkerhetscertifikat.
Utredningen vill i detta sammanhang framhålla att det europeiska ramverket för cybersäkerhetscertifiering är under införande i med- lemsstaterna och någon europeisk ordning för sådan certifiering har ännu inte antagits, även om ett utkast till sådan ordning offentlig- gjorts under utredningstiden. Det innebär att den framtida omfatt- ningen av certifieringsverksamheten på grundval av en eller flera sådana europeiska ordningar blir svår att bedöma och därför även dess organisatoriska och resursmässiga konsekvenser. Detta innebär enligt utredningen att nu aktuella frågeställningar bör tas upp till ny bedömning när omfattningen och resursbehovet av certifierings- verksamheten närmare kan bedömas.
Utredningens överväganden och förslag när det gäller frågan om FMV även bör ha ansvar för tillsynsfunktion eller om det är lämp- ligare och mer ändamålsenligt att ansvaret för certifierings- respektive
172
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
tillsynsverksamheten fördelas på två olika myndigheter behandlas nedan i avsnitt 8.4.
8.3.2Certifieringsorganet och krav på oberoende ställning
Förslag: Vid Försvarets materielverk (FMV) ska finnas ett ackre- diterat organ för bedömning av överensstämmelse enligt EU:s cybersäkerhetsakt.
När chefen för det ackrediterade organet för bedömning av överensstämmelse utövar verksamhet enligt EU:s cybersäkerhets- akt är denne inte underställd myndighetschefen.
Bedömning: Certifieringsorganets ekonomiska resurser bör be- stämmas i särskild ordning av regeringen.
Med utredningens förslag att FMV ska vara nationell myndighet för cybersäkerhetscertifiering uppkommer även frågan om CSEC, som i dag är en organisatorisk enhet inom myndigheten FMV, har en sådan organisatorisk ställning och arbetsformer att dessa möter de krav som följer av cybersäkerhetsaktens reglering av ackrediterade organ för bedömning av överensstämmelse för bedömning.
I artikel 56.4 anges att de organ för bedömning av överensstäm- melse som avses i artikel 60 får utfärda europeiska cybersäkerhets- certifikat som avser assuransnivå ”grundläggande” eller ”betydande” på grundval av de kriterier som anges en europeisk ordning för cyber- säkerhetscertifiering, som antagits av kommissionen i enlighet med artikel 49.
Ett europeiskt cybersäkerhetscertifikat får utfärdas av en natio- nell myndighet för cybersäkerhetscertifiering enligt artikel 56.5 a och 56.6 om certifieringsorganet har ackrediterats som ett organ för bedömning av överensstämmelse enligt punkt 1 i artikel 60.
Av artikel 56.5 a följer att ett sådant organ i vissa fall, dvs. när det anges i en europeisk ordning för cybersäkerhetscertifiering, ska vara en nationell myndighet för cybersäkerhetscertifiering under förut- sättning att certifieringsorganet vid myndigheten uppfyller ställda krav på ett ackrediterat organ för bedömning av överensstämmelse.
I artikel 60.1 anges att organen för bedömning av överensstäm- melse ska ackrediteras av det nationella ackrediteringsorgan som
173
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
utsetts i enlighet med förordning (EG) nr 765/2008. Sådan ackredi- tering ska dock endast utfärdas under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till cyber- säkerhetsakten. I punkten 1 i bilagan föreskrivs att organ för bedöm- ning av överensstämmelse ska vara ett tredjepartsorgan som är obe- roende av den organisation eller de
Vidare föreskrivs att ett organ för bedömning av överensstäm- melse, dess högsta ledning och den personal som ansvarar för att ut- föra bedömningen av överensstämmelse, inte får utgöras av någon som konstruerar, tillverkar, levererar, installerar, köper, äger, an- vänder eller underhåller den
Ett organ för bedömning av överensstämmelse, dess högsta led- ning och den personal som ansvarar för genomförandet av bedöm- ningen av överensstämmelse får inte heller delta direkt i konstruk- tionen, tillverkningen, marknadsföringen, installationen, användningen eller underhållet av
Ett organ för bedömning av överensstämmelse, dess högsta led- ning och den personal som ansvarar för genomförandet av bedöm- ningen av överensstämmelse får inte heller delta i någon verksamhet som kan påverka deras objektivitet eller integritet i samband med den bedömningen av överensstämmelse, särskilt vad gäller konsult- tjänster (punkten 5).
En medlemsstat ska även säkerställa att den verksamhet som be- drivs av den nationella myndigheten för cybersäkerhetscertifiering i samband med utfärdande av europeiska cybersäkerhetscertifikat som avses i artikel 56.5 a och 56.6 är strikt avskild från uppgifter och
10Förbudet ska inte hindra att bedömda
174
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
ansvarsområden i förhållande till tillsynsverksamheten och att dessa verksamheter utförs oberoende av varandra. Vidare ska den natio- nella myndigheten som utövar tillsyn vara oberoende av de enheter som den utövar tillsyn över vad gäller dess organisation, beslut om finansiering, rättsliga struktur och beslutsfattande.
Utredningen kan notera att organisationsenheten CSEC i egen- skap av nationellt certifieringsorgan av
Frågan är då om CSEC:s nuvarande organisation och ställning inom FMV kan anses uppfylla de krav som anges i bilagan till EU:s cybersäkerhetsakt. Enligt punkten 19 i bilagan ska ett organ för be- dömning av överensstämmelse uppfylla de krav som anges i relevant standard som harmoniserats enligt förordning (EG) nr 765/2008 för ackreditering av organ för bedömning av överensstämmelse som ut- för certifiering av
Vidare anges i punkten 6 i bilagan att när ett organ för bedömning av överensstämmelse ägs eller drivs av en offentlig myndighet eller institution ska det säkerställas och dokumenteras att organet har en oberoende ställning och att inga intressekonflikter föreligger mellan den nationella myndigheten för cybersäkerhetscertifiering och orga- net för bedömning av överensstämmelse.
FMV har föreslagit att det kan finnas skäl att stärka CSEC:s obe- roende inom myndigheten för att möta kraven på oberoende och att bl.a. organiseringen av den militära flygsäkerhetsinspektionen i För- svarsmakten kan tjäna som förebild i detta avseende.
Utredningen delar myndighetens bedömning och anser att CSEC:s oberoende inom FMV ska säkerställas genom att det i författning anges att det organ för certifiering som ska finnas i myndigheten, dvs. i nuläget CSEC, i sin certifieringsverksamhet är en oberoende funk- tion inom myndigheten FMV. Fråga uppkommer om även chefen för certifieringsorganet bör utses av regeringen och om budget och ekonomiska resurser bör bestämmas i särskild ordning.
175
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
Utredningen bedömer att vad som anges i punkten 6 (se ovan) i förening med att certifieringsorganets oberoende regleras i den kompletterande nationella författningsregleringen utgör tillräckliga åtgärder för att säkerställa certifieringsorganets oberoende i den natio- nella myndigheten för cybersäkerhetscertifiering (FMV). Det saknas därför för närvarande skäl att föreslå ytterligare åtgärder, t.ex. att chefen för certifieringsorganet ska utses av någon annan än chefen för myndigheten. Utredningen anser dock att certifieringsorganets ekonomiska resurser bör beslutas i särskild ordning av regeringen. Det innebär sammantaget att certifieringsorganet, dvs. CSEC, be- döms möta angivna krav i bilagan till EU:s cybersäkerhetsakt som oberoende organ för bedömning av överensstämmelse.
I utredningsdirektiven anges att vid Försvarets materielverk finns ett nationellt certifieringsorgan för
Utredningen noterar att den bestämmelse som redan finns anger att myndigheten, certifieringsorganet, i sin verksamhet ska beakta nationella säkerhetsintressen. Bestämmelsen är enligt sin lydelse be- gränsad till viss certifieringsverksamhet och det kan råda osäkerhet om bestämmelsens tillämpningsområde. Det bör därför enligt utred- ningens bedömning införas en motsvarande bestämmelse för myn- digheten FMV och dess certifieringsorgan och som ska tillämpas i myndighetens verksamhet som följer av EU:s cybersäkerhetsakt. Det finns därför skäl att införa en sådan bestämmelse i den komplette- rande författningsreglering som nu föreslås.
8.4Tillsyn
8.4.1Inledning
Utredningen har i kapitel 4 och avsnitt 8.2 redogjort närmare för cybersäkerhetsaktens struktur och olika bestämmelser. Det finns dock skäl att i detta sammanhang inledningsvis översiktligt återge de huvuduppgifter som utredningen bedömer ligger till grund för och därmed blir styrande för hur tillsynsverksamheten lämpligen kan och bör organiseras.
176
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
Genom det europeiska ramverket för cybersäkerhetscertifiering fastställs en mekanism för inrättandet av europeiska ordningar för cybersäkerhetscertifiering. Av artikel 58 framgår att en nationell myn- dighet för cybersäkerhetscertifiering ska ansvara för tillsynen av efterlevnaden av det europeiska ramverket för cybersäkerhetscerti- fiering. I artikel 54 anges att en europeisk ordning för cybersäker- hetscertifiering ska innehålla minst de komponenter och regleringar som anges i den artikeln. I punkten j anges bl.a. att en sådan ordning ska innehålla regler för övervakning av efterlevnaden av
Kommissionen kommer i unionens löpande arbetsprogram att fast- ställa strategiska prioriteringar för framtida europeiska ordningar för cybersäkerhetscertifiering. Även om något arbetsprogram ännu inte offentliggjorts har Enisa den 2 juli 2020 offentliggjort ett första ut- kast till en europeisk ordning för cybersäkerhetscertifiering av IKT- produkter som uppfyller kraven för på assuransnivåerna ”betydande” respektive ”hög”. Vidare anges vad som ska gälla vid när vissa be- stämmelser inte efterlevs.
Utredningen kan notera att den föreslagna ordningen, utöver att närmare ange vilka krav som ska uppfyllas för att ett cybersäkerhets- certifikat ska kunna utfördas, också innehåller en detaljerad och om- fattande reglering av bl.a. olika frågor som kan uppkomma i samband med handläggningen av en ansökan, utfärdande och underhåll av ett certifikat samt vad som gäller ett eventuellt återkallande av certifikatet. Utredningen bedömer att de olika europeiska ordningarna i bety- dande omfattning kommer att reglera de olika krav som ska gälla vid såväl handläggningen av olika ärenden som omfattas av cybersäker- hetsaktens tillämpningsområde, som grunderna för själva bedömning av överensstämmelse men även vad som ska gälla i form av tillsyn.
177
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
Eftersom såväl cybersäkerhetsaktens bestämmelser som bestämmel- serna i de europeiska ordningarna för cybersäkerhetscertifiering har direkt effekt och är tillämpliga i en medlemsstat uppkommer frågan i vilken utsträckning det finns utrymme och behov av och förutsätt- ningar för kompletterande nationell reglering på området.
Utredningen kan konstatera att eftersom några europeiska ord- ningar för cybersäkerhetscertifiering, utöver det nu aktuella utkastet till en sådan ordning, ännu inte formellt antagits eller fastställts före- ligger en osäkerhet om vilka krav som kan komma att ställas på den nationella tillsynen för att möta framtida behoven av tillsyn med anled- ning av de europeiska ordningar som kan komma att antas på området.
Utredningen bedömer dock att cybersäkerhetsaktens olika be- stämmelser om tillsyn ger utrymme för att med en tillräcklig grad av säkerhet vid denna tidpunkt kunna lämna förslag om hur den natio- nella tillsynsverksamheten bör organiseras och utformas. Utredningen gör samtidigt bedömningen, på motsvarande sätt som gäller för kom- pletterande nationella föreskrifter för cybersäkerhetscertifiering, att utrymmet för berörda myndigheter att meddela ytterligare föreskrifter på tillsynsområdet för närvarande blir begränsat då eventuella myn- dighetsföreskrifter måste beakta den framtida unionsrättens reglering på området.
8.4.2Utgångspunkter
Den närmare innebörden av begreppet tillsyn är inte närmare defi- nierad vare sig i EU:s cybersäkerhetsakt eller i den nationella rätts- ordningen, även om begreppet förekommer på olika verksamhetsom- råden. En tydlig avgränsning till begrepp som rådgivning vägledning, och utbildning saknas. För att tillsynen ska vara ändamålsenlig och effektiv krävs att det inte råder oklarhet om när en myndighet upp- träder i rollen som tillsynsmyndighet, vad som är föremål för tillsyn och hur tillsynen ska gå till.
I samband med att en myndighet lämnar rådgivning uppkommer ofta en risk för att råd lämnas om vad som ska göras snarare än hur något bör göras. Detta medför att råd som tillsynsmyndigheten lämnar kan utmynna i att tillsynsobjektet vidtar åtgärder som senare blir föremål för tillsyn, vilket kan underminera själva syftet med till- synen som en fristående granskning. Detta väcker också tveksam-
178
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
heter vad gäller objektivitet eftersom tillsynsmyndighetens förmåga att upptäcka brister vid en efterföljande tillsyn kan ifrågasättas. Det är således viktigt att tillsynsobjektets tydliga ansvar för åtgärder inte påverkas eller förskjuts i riktning mot tillsynsmyndigheten, vilket det finns en risk för om tillsynsmyndigheten ska utöva tillsyn och lämna råd till samma verksamhetsutövare.
Ett tydliggörande av tillsynsverksamhetens inriktning och syfte skapar också förutsägbarhet och minskar utrymmet för godtycklig- het. Det är därför viktigt att det av regleringen framgår vad tillsynen syftar till och innebörden av denna. Vidare är ramarna för tillsynens omfattning av betydelse för att kunna fastställa hur långt tillsyns- myndigheternas befogenheter sträcker sig. Det finns även behov av att närmare reglera hur tillsynsverksamheten ska bedrivas.
Idag finns heller ingen formell eller författningsreglerad tillsyns- struktur för den verksamhet som det europeiska ramverket för cyber- säkerhetscertifiering kommer att omfatta. Det kommer därför att finnas ett behov av att upprätthålla en översiktlig och sammanhållen bild över tillsynsverksamheten för att kunna följa upp, utvärdera och utveckla tillsynen på området.11
Utredningen kan konstatera att omfattningen av tillsynsverksam- heten är svår att bedöma då det är fråga om lagstiftning som inte tidigare tillämpats vilket medför svårigheter att uppskatta antalet till- synsobjekt. Det är en förutsättning att tillsynsmyndigheten har en lägesbild över vilka tillsynsobjekt som man har i uppdrag att kon- trollera för att kunna bedriva ändamålsenlig och effektiv tillsyn.
Utredningen kan vidare konstatera att eftersom det i dag inte be- drivs någon formell tillsyn av verksamheter på cybersäkerhetsaktens tillämpningsområde är det svårt att få en tydlig bild över tillgången på sak- och tillsynskompetens för den tillsyn som nu införs. Exper- terna i utredningen har upplyst att det i dag råder brist på kompetent personal för uppgifter, bl.a. tillsyn, som följer av cybersäkerhetsaktens införande. Även om det inom FMV och certifieringsorganet CSEC finns kompetens om certifiering av
11Se bl.a. Riksrevisionens rapport Informationssäkerheten i den civila statsförvaltningen (RIR 2014:23).
179
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
Frågan är då hur tillsynsverksamheten kan organiseras och utfor- mas med utgångspunkt i bl.a. de krav på tillsynsverksamheten som föreskrivs i cybersäkerhetsakten och i linje med regeringens skriv- else En tydlig, rättssäker och effektiv tillsyn (skr. 2009/10:79).12
Utredningen redogör nedan för några av de mer principiella ut- gångspunkter som bör ligga till grund för fortsatta överväganden om organisering och utformning av den tillsynsverksamhet som cyber- säkerhetsakten anger ska finnas på nationell nivå i en medlemsstat. I det sammanhanget redogörs även för några av de utredningar som tidigare behandlat frågor om tillsyn på informations- och kommu- nikationssäkerhetsområdet.
Regeringens skrivelse En tydlig, rättssäker och effektiv tillsyn (skr. 2009/10:79)
I regeringens skrivelse En tydlig, rättssäker och effektiv tillsyn (skr. 2009/10:79), lämnas generella bedömningar och görs principiella ställningstaganden av hur en tillsynsreglering bör vara utformad. I skrivelsen framhålls bl.a. betydelsen av enhetlighet i fråga om offent- lig tillsyn. Det lämnas samtidigt utrymme för att göra avsteg från de bedömningar som görs i skrivelsen. Ett viktigt skäl för att precisera tillsynsbegreppet anges vara att en tydlig definition gör det enklare att skilja granskandet från främjande verksamhet. Ett tydligt och avgränsat tillsynsbegrepp behöver samtidigt inte hindra att tillsyns- myndigheter även kan ha till uppgift att arbeta främjande och förebyg- gande för att effektivt uppnå lagstiftningens mål. Det är i allmänhet inte är lämpligt att tillsynsmyndigheten ger råd om hur tillsyns- objekten ska agera i specifika ärenden. Ett skäl till det anges vara att det kan uppstå svårigheter om tillsynsmyndigheten tidigare lämnat råd i ärenden som sedan blir föremål för tillsyn. Samtidigt framhålls att inom vissa tillsynsområden kan skäl tala för att, utöver upplys- ningar om gällande rätt, så kan även rekommendationer och vägled- ning utgöra del av tillsynen. En annan faktor som tas upp är vilka risker regelöverträdelser kan orsaka. Regelöverträdelser som innebär
12Statskontoret framhåller i sin rapport Tänk till om tillsynen betydelsen av att staten ser till- synen som ett sammanhållet system, där de olika delarna reglering, organisering, styrning, finansiering och ingripandemöjligheter samspelar för att bästa möjliga resultat av verksam- heten ska kunna åstadkommas (s. 93).
180
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
risker för exempelvis människors liv och hälsa kan påverka såväl be- hovet av en enhetlig tillsyn som utformning av sanktioner.
I skrivelsen framhålls att det är viktigt att utgå från de förutsätt- ningar som gäller för det specifika tillsynsområdet. Det går inte att bortse från att många tillsynsområden har väsentligt olika förutsätt- ningar som påverkar hur tillsynsregelverket bör utformas för att effek- tivt bidra till att de materiella reglerna efterlevs och intentionerna i regelverken förverkligas. Faktorer som kan behöva vägas in är bland annat vem som bedriver den verksamhet som tillsynen avser, vilket slag av verksamhet som tillsynen riktas mot, vilka risker regelöver- trädelser kan orsaka och hur det materiella regelverk som tillsynen avser är utformat. Vidare påpekas att det måste beaktas att tillsyn är kostnadskrävande och orsakar störningar och påfrestningar för den som kontrolleras.
I skrivelsen framhålls att begreppet tillsyn främst bör användas för verksamhet som avser självständig granskning för att kontrollera om tillsynsobjektet uppfyller krav som följer av lagar och andra bindande föreskrifter. En grundläggande förutsättning för tillsynen är att tillsynsorganet har författningsreglerade möjligheter att in- gripa. Tillsynsorganen bör ha rätt att av den objektsansvarige få del av de upplysningar eller handlingar som behövs för tillsynen. Till- synsorganet bör även ha tillträdesrätt till utrymmen som används i den tillsynspliktiga verksamheten. Tillsynsorganen bör ha möjlighet att begära biträde från Kronofogdemyndigheten. Vidare bör tillsyns- organen ha möjlighet att ålägga den som är tillsynsobjektet ansvar för att utöva egen kontroll av sin verksamhet. Alla ingripanden bör kunna överklagas.
Tillsyn enligt förslag av NISU 2014
Frågan om tillsyn över den statliga sektorns informationssäkerhet behandlades i betänkandet Informations- och cybersäkerhet i Sverige
–Strategi och åtgärder för säker information i staten (SOU 2015:23).
Utredningen konstaterade att ett antal myndigheter vid sidan om Försvarsmakten, Säkerhetspolisen och sektorsmyndigheterna har till- synsansvar inom informationssäkerhetsområdet, bl.a. Datainspek- tionen, Finansinspektionen och Strålsäkerhetsmyndigheten. Enligt utredningen är detta en krävande uppgift som ställer höga krav på
181
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
expertkompetens då tillsynsansvaret omfattar alla aspekter av infor- mationssäkerhet, allt från administrativ säkerhet till
I betänkandet angavs bl.a. att tillsynen över den statliga sektorns informationssäkerhet borde samordnas och förstärkas. MSB borde enligt förslaget utöva tillsyn över myndigheternas informationssäker- hetsarbete. I betänkandet konstateras att ett en sådan tillsynsuppgift föranleder ökad samverkan med myndigheter i det myndighetsråd som föreslogs. Vidare framhölls nödvändigheten av samordning i förhåll- ande till den tillsyn som utövas under säkerhetsskyddslagen för att undvika överlappande tillsynsansvar. Även samordning med den till- syn inom staten avseende informationssäkerhet som sker genom sek- torsansvariga myndigheters försorg borde öka.
Utredningen ansåg angeläget att noga följa utvecklingen och inom en inte alltför avlägsen framtid följa upp frågan, bl.a. med hänsyn till
Utredningen om genomförande av
I betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) analyserade utredningen behovet och utform- ningen av tillsyn med anledning av
182
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
dock inte medföra något övertagande av sektorsmyndigheternas an- svar för tillsyn över aktörer eller något mandat att styra hur dessa myndigheter ska använda sina resurser.
Enligt direktiven borde utgångspunkten därför vara att tillsyns- myndigheterna inom de sektorer som omfattas av
I betänkandet redogjordes för myndigheternas olika tillsynsfunk- tioner inom berörda samhällssektorer. Utredningen föreslog att varje sektor och för de digitala tjänster som omfattas av lagstiftningen ska en tillsynsmyndighet ansvara för att övervaka att regelverket följs. Utredningen föreslog att MSB ska inom ramen för sitt uppdrag ha en samlad bild av
Utredningen föreslog vidare att MSB ska tillhandahålla tillsyns- myndigheterna det metodstöd för tillsyn som behövs för en effektiv tillsyn enligt det föreslagna regelverket.
Regeringens proposition 2017/18:205 Informationssäkerhet för samhällsviktiga och digitala tjänster
I propositionen 2017/18:205 Informationssäkerhet för samhällsviktiga och digitala tjänster framhålls att nätverk och informationssystem spelar en allt viktigare roll i samhället. Deras tillförlitlighet och säker- het är grundläggande för ekonomisk och samhällelig verksamhet och den inre marknadens funktion. I syfte att genomföra
183
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
säkerhetsåtgärder till skydd för säkerheten i nätverk och informa- tionssystem och att leverantörerna ska rapportera incidenter som påverkar kontinuiteten i tjänsterna. Vidare anges att den myndighet som regeringen bestämmer ska utöva tillsyn över att lagen och före- skrifter som har meddelats i anslutning till den följs, och att myndig- heten ska kunna besluta om vitesföreläggande och sanktionsavgift mot den som inte följer lagens bestämmelser. Den nya lagen trädde i kraft den 1 augusti 2018.
Betänkandet En ny säkerhetsskyddslag (SOU 2015:25)
I betänkandet En ny säkerhetsskyddslag (SOU 2015:25) behandlades frågan om tillsyn av säkerhetsskyddet. Utredningen konstaterade i betänkandet att formerna för tillsynen av säkerhetsskyddet i väsent- liga avseenden avviker från hur offentlig tillsyn normalt är ordnad. Utredningen framhöll att tillsynen har ett stort inslag av råd och stöd till verksamhetsutövarna. Samtidigt underströk utredningen att det finns svårigheter med att förena en rådgivande roll med en kon- trollerande roll och att det vore olyckligt med en utveckling mot att myndigheter som utövar tillsyn är så restriktiva i sin rådgivning att det innebär ett försämrat säkerhetsskydd. Utredningen stannade för bedömningen att det vid tidpunkten inte fanns tillräckliga skäl för att förändra tillsynens inriktning och genomförande. Utredningen lade däremot fram vissa förslag om ändringar i fråga om placeringen av tillsynsansvaret, bl.a. att MSB skulle ta över tillsynsansvaret för kommuner och landsting från Säkerhetspolisen och även länsstyrel- sernas ansvar för enskilda verksamheter som inte ligger under någon annan myndighets tillsynsområde. Förslaget beträffande MSB fick ett blandat mottagande i samband med remitteringen av betänkandet.
Regeringens proposition 2017/18:89 Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag
I propositionen 2017/18:89 Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag noterades att ansvaret för tillsyn en- ligt säkerhetsskyddslagen är uppdelat mellan flera myndigheter.
I propositionen framhölls att behovet är stort av ett förbättrat säkerhetsskydd hos såväl offentliga som enskilda verksamhetsutövare.
184
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
Den nya säkerhetsskyddslagen utvidgar i viss mån kraven på offent- liga aktörer och kommer också på ett tydligare sätt att omfatta en- skilda verksamheter. Det är svårt att förutsäga hur många enskilda verksamhetsutövare som kommer att vara skyldiga att tillämpa lag- stiftningen. Det kan dock konstateras att antalet verksamheter som har betydelse för Sveriges säkerhet, och som drivs i enskild regi, har ökat i takt med privatiseringen av offentlig verksamhet. Det innebär sammantaget med den snabba digitaliseringen av samhället att det kan antas att verksamheter med central betydelse för Sveriges säkerhet även i framtiden kommer att drivas av enskilda aktörer. Att tillsynen över såväl offentliga som enskilda verksamhetsutövare även fram- över fungerar på ett tillfredsställande sätt är därför mycket angeläget.
I propositionen framhölls att en ny säkerhetsskyddslag bör kom- pletteras med en möjlighet att utfärda sanktioner mot aktörer som brister i sitt säkerhetsskyddsarbete. När det gäller frågan om tillsyn finns anledning att på nytt utreda vilka myndigheter som bör ha upp- gifter att utöva tillsyn enligt säkerhetsskyddslagen. Även ett infö- rande av sanktionsmöjligheter medför ett behov av att se över till- synsstrukturen eftersom det också innebär att tillsynens karaktär behöver förändras från dagens inriktning mot rådgivning och stöd till tillsyn i en mer traditionell mening.
Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82)
I betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) lämnar utredningen förslag på en utökad tillsyn över säkerhetskänslig verksamhet. Utredningen fann att det finns brister när det gäller tillsynsverksamheten och regleringen av tillsynen på säkerhetsskyddsområdet. Utredningen menade att det inte är defini- erat och avgränsat vad tillsynen syftar till och avser. Ingen myndig- het har en samlad bild över tillsynen. Vidare saknas det reglering om hur tillsynsmyndigheterna ska utbyta hotinformation med Säker- hetspolisen och Försvarsmakten. Utredningen bedömde att själva till- synen hittills har bedrivits i alltför begränsad omfattning. Vidare an- såg utredningen att tillsynsmyndigheterna saknar de befogenheter som krävs för att de ska kunna genomföra en effektiv tillsyn och åstadkomma rättelse. Tillsynskompetensen behöver också öka hos många tillsynsmyndigheter och det behöver skapas en överblick över
185
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
vilka tillsynsobjekt som finns inom respektive tillsynsområde. Betän- kandet har remissbehandlats och är föremål för beredning i Regerings- kansliet. Det ingår utredningens uppdrag att beakta den fortsatta beredningen av betänkandet.
8.4.3Nationell myndighet med ansvar för tillsyn
Förslag: Försvarets materielverk (FMV) ska vara nationell myn- dighet för cybersäkerhetscertifiering enligt artikel 58 i EU:s cyber- säkerhetsakt. Myndigheten ska fullgöra de tillsynsuppgifter som följer av artikel 58.7.
Bedömning: Regeringen kan meddela de verkställighetsföreskrif- ter som behövs för genomförandet av tillsynsverksamheten enligt artikel 58.7.
FMV bör organisera tillsynsfunktionen i myndigheten så att kraven på oberoende enligt EU:s cybersäkerhetsakt uppnås.
Utgångspunkter
I artikel 58 i EU:s cybersäkerhetsakt anges att medlemsstaterna bör kunna utse mer än en nationell myndighet med ansvar för att utföra uppgifter som rör kontroll och övervakning av det europeiska ram- verket för cybersäkerhetscertifiering. Medlemsstaterna får vid behov använda eller anpassa organisationsstrukturer vid genomförandet av cybersäkerhetsakten.
Cybersäkerhetscertifiering av
EU:s cybersäkerhetsakt är utformad på ett sätt som ger den verk- samhetsansvarige ett stort ansvar och bedömningsutrymme i fråga om såväl regelverkets tillämplighet som att bestämma hur verksam- heten ska bedrivas för att möta kraven i regleringen. Det kan med- föra utmaningar i fråga om möjligheter att ingripa, som förutsätter
186
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
tydlighet om vilka brister som behöver åtgärdas. Ett annat förhål- lande som är viktigt att beakta är att lagstiftningens karaktär medför att det kan finnas ett stort behov av vägledning och stöd till de verk- samheter som har att tillämpa cybersäkerhetsakten och europeiska cybersäkerhetsordningar. Särskilt i förhållande till företag, bl.a. till- verkare och leverantörer, men även organ för bedömning av över- ensstämmelse, kan finnas ett större behov av råd och stöd vid regel- verkets tillämpning. Det behovet kan dessutom komma att öka i de fall europeiska ordningar som föreskriver tvingande cybersäkerhets- certifiering kommer att införas.
Mot den bakgrunden kan det antas att cybersäkerhetsaktens genom- slag kan komma att vara beroende av om de myndigheter som har ett särskilt ansvar för certifiering och tillsyn på olika sätt kan i en till- räcklig omfattning vägleda och stödja berörda aktörer i deras verk- samhet.
Utredningen anser att till en början bör en förebyggande inrikt- ning i tillsynsarbetet ske. Flera av experterna i utredningen har också framhållit att det är viktigt att tillsynen utgår från samverkan och ger utrymme för en dialog mellan myndighet och den verksamhet som berörs av tillsynen. Det är utredningens bedömning det inom det nu aktuella tillsynsområdet är viktigt att det finns goda förutsättningar för samverkan mellan myndigheter och enskilda verksamheter. Om brister i verksamheten kan medföra åtgärder som till exempel var- ningar och vitessanktionerade åtgärdsförelägganden, kan det minska benägenheten att på eget initiativ ta upp brister med den myndighet som kontrollerar att kraven på området för cybersäkerhetscertifier- ing efterlevs. Det kan medföra en risk att sådana inslag skulle kunna medföra att värdefullt erfarenhetsutbyte, till exempel i fråga om säker- hetshot mellan de verksamheter som kontrolleras och den myndig- het som utövar tillsynen motverkas.
Även vilken form av verksamhet som tillsynen riktas mot bör beaktas i sammanhanget. De tillsynsobjekt och verksamheter som kan komma att beröras av tillsynen är främst de som utfärdar EU- försäkran om överensstämmelse eller europeiska cybersäkerhetscer- tifikat, dvs. tillverkare och leverantörer samt organ för bedömning av överensstämmelse av
187
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
givna produkter, tjänster och processer på marknaden. Organ för bedömning kan utgöras av en nationell myndighet eller företag på marknaden. Det rör sig således om aktörer i verksamheter med olika inriktning och karaktär inom en rad olika områden för informations- och cybersäkerhet. Detta talar också för att ha en enhetlig tillsyn i syfte att uppnå stabilitet och samsyn inom tillsynsverksamheten på området.
Inte bara bred och djup kunskap om cybersäkerhetscertifiering och informations- och cybersäkerhetsäkerhet är viktiga komponen- ter för en tillsynsmyndighet utan även djup och bred erfarenhet av informationssäkerhet inom olika samhällsområden bör tillmätas stor betydelse. Härtill kommer att myndigheten också ska ha tillräcklig kunskap och förståelse för verksamhet som faller inom det euro- peiska ramverkets tillämpningsområde.
En annan faktor som ska beaktas när man bedömer hur ett tillsyns- system ska utformas är vilka risker som eventuella regelöverträdelser kan komma att medföra. Syftet med det europeiska ramverket för cybersäkerhetscertifiering är att höja nivån på säkerhet och tillit i
Eftersom dessa även handlas mellan medlemsstaterna kan eventu- ella brister och sårbarheter i dessa även få en gränsöverskridande ver- kan. Det angivna talar för att ett system för tillsynen utöver enhet- lighet också bör innefatta en förebyggande inriktning.
Idag finns nationellt flera system för tillsyn av informations- och cybersäkerhet i de verksamheter som kan komma att beröras av cyber- säkerhetsaktens tillämpningsområde och verksamheterna har i många fall flera olika tillsynsmyndigheter. Vissa tillsynsmyndigheter utövar redan i dag tillsyn över säkerhet i nätverk och informationssystem medan andra har en annan inriktning på tillsynen. Till följd av bl.a.
isåväl omfattning som utformning av tillsyn av informationssäker- heten i många olika samhällsverksamheter. Även om det europeiska ramverket för cybersäkerhetscertifiering och det nationella tillsyns- systemet utformas på ett enhetligt sätt kommer kraven på åtgärder
188
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
för olika
Utgångspunkten bör vara att om möjligt eftersträva en enhetlig tillsyn på cybersäkerhetsaktens tillämpningsområde. Detta påverkar också utformningen av själva systemet och hur tillsynen bör bedrivas.
Utredningen kan konstatera att ett system med en tillsynsmyn- dighet som ansvarar för hela tillsynsverksamheten på området har både för- och nackdelar. Det som talar för ett system med en till- synsmyndighet är att kunskap cybersäkerhetscertifiering i förening med kunskap om hot, sårbarheter och risker i informations- och cybersäkerhet kan samlas i en myndighet med djup och bred kun- skap på området. Detta framstår som särskilt viktigt på de områden för informations- och cybersäkerhet som redan regleras av nationell lagstiftning eller
Det är vidare i detta fall en fördel om normgivning och tillsyn kan hållas samman, vilket även förekommer inom många andra samhälls- sektorer där aktörerna omfattas av såväl nationella regleringar som
Det som ytterligare kan anföras mot att utse två eller flera myn- digheter att fullgöra tillsynsfunktionen är att uppgifterna och arbetet med tillsyn på cybersäkerhetsaktens tillämpningsområde, särskilt när det gäller säkerhet i
Enligt utredningens mening talar det nu angivna för att utgångs- punkten för tillsynens utformning ska vara att det ska finnas en till- synsmyndighet för hela det europeiska ramverket för cybersäker- hetscertifiering.
Eftersom tillsynsfunktionen ska organiseras vid en befintlig myn- dighet är det en fördel om den myndigheten redan har kunskap och
189
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
erfarenhet av cybersäkerhetscertifiering vilket medför att förbere- delsetiden för att påbörja tillsynsverksamheten kan reduceras. En effektiv tillsyn kräver även förtroende mellan tillsynsmyndighet och tillsynsobjekten, vilket bygger på långsiktiga relationer samt kun- skap och förståelse för verksamheten.
Förslag på myndighet med ansvar för tillsyn
Nästa fråga blir då vilken befintlig myndighet som har förutsättningar och är lämplig att utöva tillsyn när det gäller efterlevnaden av det europeiska ramverket och den kompletterande nationella lagstift- ningen på området.
Utredningen har vid kartläggningen och bedömningen av lämplig myndighet för tillsynsfunktionen beaktat om myndigheten i dag har
–kunskap och erfarenhet av certifiering på området för informa- tions- och cybersäkerhet,
–kunskap om sårbarheter, hot och risker inom informations- och cybersäkerhet,
–erfarenhet och ansvar för tillsyn av informations- och cybersäker- hetkunskap, och
–ansvar för att utfärda föreskrifter.
Utredningen kan konstatera att det i dag inte finns någon enhetlig struktur för tillsyn inom de områden som angränsar till cybersäker- hetsaktens tillämpningsområde. På vissa områden finns flera tillsyns- myndigheter med olika ansvar, i andra är ansvaret utpekat och i vissa fall saknas tillsynsmyndighet.
Mot bakgrund av de krav som anges i cybersäkerhetsakten, vad som anges i regeringens skrivelse (skr. 2009/10:79) och vad som fram- kommit om nu aktuella befintliga myndigheter gör utredningen bedömningen att främst en myndighet som ingår i
Fråga uppkommer då om någon de andra s.k.
190
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
råden. Utredningen kan samtidigt konstatera att tillsynsuppgifterna som följer av det europeiska ramverket för cybersäkerhetscertifier- ing är av en annan karaktär än de tillsynsuppgifter som dessa myndig- heter i dag har, bl.a. vad gäller tillsyn över certifieringsverksamhet, och som förutsätter en djupare kunskap om certifiering av
Utöver FMV är det endast MSB, och i viss mån även PTS, som har uppgifter som knyter an till de uppgifter som följer av det euro- peiska ramverket för cybersäkerhetscertifiering.
PTS bevakar områdena elektronisk kommunikation och post. Begreppet elektronisk kommunikation omfattar telekommunikatio- ner, it och radio. PTS har tillsynsansvar och får meddela föreskrifter på flera olika områden. PTS har tillsyn enligt lagen (2003:389) om elektronisk kommunikation. PTS är även tillsynsmyndighet för digi- tal infrastruktur och digitala tjänster enligt lagen (2018:1174) om in- formationssäkerhet för samhällsviktiga och digitala tjänster. PTS är vidare tillsynsmyndighet för betrodda tjänster enligt lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elek- tronisk identifiering. Även enligt säkerhetsskyddslagen (2018:585) har PTS ett tillsynsansvar och får meddela föreskrifter. PTS har även ansvar och uppgifter inom bl.a. området kontanthantering. Även om myndigheten har uppgifter och erfarenhet av informations- och cyber- säkerhetsarbete samt har till uppgift att vara tillsynsmyndighet ver- kar myndigheten främst inom området för elektronisk kommuni- kation. Om PTS fick uppgiften att vara tillsynsmyndighet skulle myndigheten behöva bygga upp och utveckla en bred och djup tek- nisk kompetens för tillsyn på cybersäkerhetsaktens tillämpnings- område, vilket även skulle innebära att myndigheten fick ett betyd- ligt bredare uppdrag än vad som är fallet i dag.
MSB:s uppgifter och verksamhet har tidigare beskrivits i kapitel 5. Som tidigare framgår har myndigheten i dag uppgifter och ansvar på informations- och cybersäkerhetsområdet, bl.a. har den ansvar för att utveckla och stödja informations- och cybersäkerheten i sam- hället Myndigheten har också särskilda uppgifter inom ramen för
191
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
den verksamhet som omfattas av lagen om samhällsviktiga tjänster
Utredningen kan samtidigt konstatera att även om MSB har en bred kompetens inom olika delområden avseende informations- och cybersäkerhet har myndigheten i jämförelse med FMV och certi- fieringsorganet CSEC inte den breda och djupa tekniska kompetens och erfarenhet på området för cybersäkerhetscertifiering som kan förutsättas behövas för att myndigheten ska kunna utöva en ända- målsenlig och effektiv tillsyn på området för det europeiska ram- verket för cybersäkerhetscertifiering.
FMV har genom certifieringsorganet CSEC en djup och bred kompetens och erfarenhet på området för cybersäkerhetscertifiering samt lång erfarenhet av samverkan med nationella och internatio- nella aktörer inom såväl cybersäkerhet som annan kvalificerad tek- nisk verksamhet på försvars- och säkerhetsområdet. Myndigheten är nu även föreslagen som tillsynsmyndighet för verksamhet som om- fattas av säkerhetsskyddslagstiftningen. Sammantaget gör utredningen bedömningen att FMV är den av aktuella myndigheter som i dag framstår som den myndighet som har förutsättningar att på det mest ändamålsenliga och effektiva sättet kunna fullgöra tillsynsuppgifterna.
Samtidigt uppkommer frågan om uppgifterna som nationell myn- dighet för cybersäkerhetscertifiering med de uppgifter som följer i den rollen går att förena med rollen som ansvarig för tillsyn över det europeiska ramverket för cybersäkerhetscertifiering.
I artikel 58.3 i EU:s cybersäkerhetsakt framhålls att den natio- nella myndigheten för cybersäkerhetscertifiering ska vara oberoende av de enheter som den utövar tillsyn över, särskilt vad gäller tillsyns- objektet organisation, beslut om finansiering, rättsliga struktur och beslutsfattande.
Av punkten 4 följer att medlemsstaten även ska säkerställa att den verksamhet som bedrivs av den nationella myndigheten för cybersäker- hetscertifiering i samband med utfärdande av europeiska cybersäker- hetscertifikat som avses i artikel 56.5 a och 56.6 är strikt avskilda från deras uppgifter och ansvarsområden i förhållande till tillsynsverk- samheten och att dessa verksamheter utförs oberoende av varandra.
Utredningen kan konstatera att angivna reglering ställer krav på att såväl certifieringsorganet som myndighetens tillsynsfunktion är organiserade på ett sätt som innebär att de är strikt åtskilda och obe- roende av varandra. När det gäller certifieringsorganet i FMV lämnar
192
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
utredningen i avsnitt 8.3.2 förslag på åtgärder som syftar till att säker- ställa certifieringsorganets oberoende i verksamhet som utförs enligt EU:s cybersäkerhetsakt. EU:s cybersäkerhetsakt ställer utöver det angivna inte några ytterligare krav på tillsynsfunktionens organiser- ing, vilket enligt utredningens bedömning medför att certifierings- organet och tillsynsfunktionen kan organiseras i myndigheten FMV under förutsättning att verksamheterna är strikt åtskilda och obero- ende av varandra.
Av artikel 58 framgår att myndigheten för cybersäkerhetscerti- fiering har tillsynsuppgifter varför det i denna del inte krävs någon kompletterande nationell reglering. Enligt den nationella förvaltnings- modellen är det myndigheten som organiserar verksamheten i myn- digheten om inte annat särskilt anges i författning eller reglerings- brev. Utredningen anser att frågan om hur tillsynsfunktionen inom FMV ska organiseras och formerna för arbetets bedrivande för att möta kraven i EU:s cybersäkerhetsakt bör beslutas av den myndig- heten, t.ex. i myndighetens arbetsordning. Det finns därför inte heller i denna del behov av kompletterande nationell reglering.
Myndigheten bör därför utses att ansvara för tillsynsuppgifterna som följer av artikel 58 i EU:s cybersäkerhetsakt.
Utredningen kan samtidigt konstatera att tillsynsmyndigheter inom olika samhällssektorer fortsatt ska ha ansvaret för att kontrol- lera att myndigheter och andra aktörer följer respektive sektors regler om informations- och cybersäkersäkerhet, också när en fråga uppkommer som berör cybersäkerhetsaktens tillämpningsområde. Det ställer krav på utökad samverkan mellan den nationella myndig- heten med ansvar för cybersäkerhetscertifiering och tillsyn och övriga berörda myndigheter på informations- och cybersäkerhets- området. Utredningen återkommer till denna fråga i kapitel 13.
193
Nationell myndighet för cybersäkerhetscertifiering |
SOU 2020:58 |
8.5Avgifter
Förslag: I lagen med kompletterande bestämmelser till EU:s cyber- säkerhetsakt ska anges att den nationella myndigheten för cyber- säkerhetscertifiering får ta ut avgifter för de verksamheter som myndigheten bedriver enligt EU:s cybersäkerhetsakt och den nya lagen.
Regeringen eller den myndighet som regeringen bestämmer bör bemyndigas att meddela närmare bestämmelser om avgiftssyste- mets utformning.
Bedömning: Det behövs inga kompletterande författningsbestäm- melser om FMV:s möjlighet att meddela närmare föreskrifter om avgiftsfinansieringen av dess verksamhet.
Enligt EU:s cybersäkerhetsakt omfattar de nationella cybersäker- hetscertifieringsmyndigheternas uppdrag såväl utfärdande av cyber- säkerhetscertifikat enligt artikel 56 som tillsyn enligt artikel 58 över
FMV/CSEC:s verksamhet är i dag både anslags- och avgifts- finansierad. Motsvarande system bör införas när det gäller finansier- ingen av den certifieringsverksamhet som den nationella myndigheten för cybersäkerhetscertifiering bedriver enligt EU:s cybersäkerhets- akt. Bemyndigandet att ta ut avgifter bör beslutas genom lag (se SOU 2007:96 s. 143).
Utredningen anser vidare att berörda aktörer bör ersätta kostna- den för tillsynsverksamheten. Detta kan lämpligen ske genom att en tillsynsavgift betalas av enskilda. Tillsynsavgiften bör tas ut av de aktörer vars verksamhet prövas eller är föremål för tillsynsåtgärd. Möjligheten för den nationella myndigheten för cybersäkerhetscer- tifiering att ta ut avgifter bör således omfatta alla berörda organ för bedömning av överensstämmelse och innehavare av europeiska cyber- säkerhetscertifikat eller utfärdare av
194
SOU 2020:58 |
Nationell myndighet för cybersäkerhetscertifiering |
Regeringen eller den myndighet som regeringen bestämmer bör bemyndigas att meddela närmare bestämmelser om avgiftssystemets utformning.
Utredningen noterar att FMV, som utredningen föreslår ska utses till nationell myndighet för cybersäkerhetscertifiering, får i dag ta ut avgifter för sin verksamhet med stöd av 14 § förordningen (2007:854) med instruktion för Försvarets materielverk. Myndigheten har även rätt att meddela föreskrifter om avgifternas storlek. Det behövs därför inga kompletterande författningsbestämmelser i denna del.
Utredningen bedömer att det inte bör införas någon författnings- reglerad avgiftsfinansiering av de privata organen för bedömning av överensstämmelse. Dessa organ bedriver verksamhet på en marknad och avgiften för utfärdande av ett cybersäkerhetscertifikat bör be- stämmas i konkurrens mellan berörda aktörer.
195
9Tillsynsbefogenheter och sanktioner
9.1Inledning
I det föregående kapitlet har utredningen tagit ställning till vilken myndighet som bör utses till nationell myndighet för cybersäker- hetscertifiering samt redogjort för dess tillsynsuppgifter.
Den nationella myndigheten för cybersäkerhetscertifiering ska enligt EU:s cybersäkerhetsakt övervaka och kontrollera efterlevna- den av det europeiska ramverket för cybersäkerhetscertifiering. För att kunna utföra sin tillsyn på ett effektivt sätt behöver myndigheten ett antal befogenheter.
Även om det finns ett samförstånd mellan den nationella myndig- heten för cybersäkerhetscertifiering och tillsynsobjektet bygger ett legitimt och ändamålsenligt system för tillsyn på att tillsynsmyndig- heten har författningsreglerade befogenheter för att kunna genom- föra de åtgärder som kan behövas i det enskilda fallet. I artikel 58.8 föreskriver EU:s cybersäkerhetsakt olika minimibefogenheter. Att tillsynsverksamheten är författningsreglerad har även den fördelen att ramarna för tillsynsverksamheten tydliggörs, vilket är ytterligare en fördel när det som i detta fall är fråga om en ny lagstiftning som om- fattar många företag, dvs. såväl tillverkare och leverantörer av IKT- produkter,
Regelverket om tillsyn på tillämpningsområdet för EU:s cyber- säkerhetsakt angränsar till motsvarande bestämmelser i
197
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
att möjliggöra en effektiv tillsyn. En utgångspunkt bör därför vara att de kompletterande nationella bestämmelser som behövs för att befog- enheterna som anges i EU:s cybersäkerhetsakt ska kunna tillämpas effektivt är att dessa utformas på motsvarande sätt om inte några särskilda skäl talar emot det. I den mån det finns ett behov av att an- passa reglerna till de särskilda förhållanden som kan finnas på cyber- säkerhetsaktens tillämpningsområde ska en sådan anpassning dock ske. Vidare ska vad som anges i regeringens skrivelse En tydlig, rätts- säker och effektiv tillsyn (skr. 2009/10:79) beaktas vid övervägande om hur tillsynssystemet bör utformas.
I detta kapitel behandlar utredningen de tillsynsbefogenheter som EU:s cybersäkerhetsakt ger den nationella myndigheten för cyber- säkerhetscertifiering samt behovet av kompletterande nationell lag- stiftning om myndighetens befogenheter. Därefter redogör utred- ningen för sina överväganden i fråga om ett lämpligt sanktionssystem.
Frågor om sekretess för uppgifter som lämnas i samband med till- syn till den nationella myndigheten för cybersäkerhetscertifiering behandlas i kapitel 12.
9.2Undersökningsbefogenheter
Förslag: Den nationella myndigheten för cybersäkerhetscertifier- ing får besluta de förelägganden som behövs för att EU:s cyber- säkerhetsakt, de genomförandeakter som har meddelats med stöd av den förordningen, den nya lagen och föreskrifter som har med- delats i anslutning till lagen ska följas.
Ett beslut om föreläggande får förenas med vite.
Den nationella myndigheten för cybersäkerhetscertifiering har rätt att få biträde av Kronofogdemyndigheten för tillsyn i enlighet med artikel 58.8 d i EU:s cybersäkerhetsakt.
Bedömning: Den nationella myndigheten för cybersäkerhetscer- tifiering bör ha möjlighet att meddela närmare föreskrifter om
1.formerna för lämnandet av information enligt artikel 58.8 a i EU:s cybersäkerhetsakt,
2.kontrollförfarandet vid undersökningar enligt artikel 58.8 b i EU:s cybersäkerhetsakt, och
3.utredningsförfarandet vid tillträde till lokaler artikel 58.8 d i EU:s cybersäkerhetsakt.
198
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
9.2.1Rätten att begära uppgifter
I artikel 58.8 a i EU:s cybersäkerhetsakt anges att en nationell myn- dighet för cybersäkerhetscertifiering kan begära att utfärdare av en
Bestämmelsen innebär att den som står under tillsyn ska på begä- ran tillhandahålla den nationella myndigheten för cybersäkerhets- certifiering den information som behövs för tillsynen. Uppgiftsskyl- digheten gäller för ovan angivna aktörer. Bestämmelsen har direkt effekt och kräver inte kompletterande nationell lagstiftning i fråga om själva rätten att begära nödvändiga uppgifter. När den nationella myndigheten för cybersäkerhetscertifiering begär uppgifter eller information förutsätts den uppge syftet med begäran och precisera vilka uppgifter eller vilken information som ska lämnas.
Den nationella myndigheten för cybersäkerhetscertifiering bör bemyndigas att meddela de föreskrifter som behövs för att uppgifts- skyldigheten enligt artikel 58.8 a ska kunna fullgöras på ett effektivt och ändamålsenligt sätt. En sådan rätt kan lämpligen införas i den nya förordningen med kompletterande bestämmelser till EU:s cyber- säkerhetsakt.
9.2.2Rätten att genomföra undersökningar i form av kontroller
Av artikel 58.8 b i EU:s cybersäkerhetsakt framgår att den nationella myndigheten för cybersäkerhetscertifiering får genomföra under- sökningar, i form av kontroller, av utfärdare av en
199
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
Bestämmelsen har direkt tillämplighet och påkallar ingen nationell lagstiftning för att genomföras. Det finns emellertid behov, på mot- svarande sätt som gäller vid uppgiftsskyldigheten (se avsnitt 9.2.1), av att den nationella myndigheten för cybersäkerhetscertifiering kan meddela förskrifter om kontrollförfarandet vid undersökningarna.
9.2.3Rätten att få tillträde till lokaler och biträde av Kronofogdemyndigheten
I artikel 58.8 d i EU:s cybersäkerhetsakt anges att den nationella myn- digheten för cybersäkerhetscertifiering ska ha rätt att få tillgång till alla lokaler hos organ för bedömning av överensstämmelse eller inne- havare av ett europeiskt cybersäkerhetscertifikat i syfte att genom- föra utredningar i enlighet med unionsrätten eller medlemsstaternas processrätt. Bestämmelsen är en förutsättning för att det ska kunna bedrivas en effektiv tillsyn enligt cybersäkerhetsakten. Tillträdes- rätten, som omfattar alla lokaler där det bedrivs verksamhet som om- fattas av aktens tillämpningsområde, ska dock av integritetsskäl inte gälla bostäder som finns i anslutning till verksamheten.1 Tillsyns- objekten är tillverkare och leverantörer av
För att tillsyn ska kunna bedrivas på ett effektivt sätt är det nöd- vändigt att den myndigheten som utövar tillsyn får vidta vissa under- sökningar av de lokaler som de får tillträde till och till det som på- träffas där. Alla sådana undersökningar måste dock begränsas till det som är nödvändigt för att tillsynen ska kunna genomföras och måste vara inriktade enbart på sådant som har relevans för tillsynen av efter- levnaden av bestämmelserna i EU:s cybersäkerhetsakt. Proportiona- litetsprincipen ska beaktas innan myndigheten begär tillträde och gör undersökningar.
Genomförandet av artikel 58.8 d kräver inte kompletterande natio- nell reglering. Om verksamhetsutövaren däremot vägrar att ge den
1I regeringens skrivelse En tydlig, rättssäker och effektiv tillsyn (skr. 2009/10:79, s. 50 f.) anges att tillsynsorgan bör ha tillträdesrätt till alla utrymmen som används i den tillsynspliktiga verksamheten men att av integritetsskäl bör bostäder inkluderas endast om det är nödvändigt för att tillsynsorganet ska kunna bedriva en effektiv tillsyn. För övrigt kan noteras att bestäm- melsen i EU:s cybersäkerhetsakt anger just ”lokaler” och inte andra utrymmen.
200
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
nationella myndigheten för cybersäkerhetscertifiering tillträde till en lokal eller liknande för undersökning kan tvångsåtgärder behöva an- vändas. Att vidta sådana åtgärder ligger inte inom myndighetens be- fogenheter. Det finns inte anledning att anta att det kommer finnas risk för hot eller handgripligheter i samband med tillsynen enligt de aktuella bestämmelserna. De eventuella hinder som kan uppstå får i stället antas vara av fysiskt art. Den nationella myndigheten för cyber- säkerhetscertifiering bör därför kunna begära biträde av Kronofogde- myndigheten för att få tillgång till en lokal för att kunna kontrollera handlingar, utrustning och verksamheten på plats. Då gäller bestäm- melserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.
I likhet med vad som konstaterats ovan bör den nationella myn- digheten för cybersäkerhetscertifiering även ha möjlighet att med- dela närmare föreskrifter om utredningsförfarandet vid tillträde till lokaler.
9.2.4Rätten att vidta lämpliga åtgärder
Av artikel 58.8 c framgår att varje nationell myndighet för cybersäker- hetscertifiering ges rätt att vidta lämpliga åtgärder, i enlighet med nationell rätt, för att säkerställa att den som utfärdar en
Utredningen konstaterar att artikel 58.8 c i EU:s cybersäkerhets- akt enligt sin lydelse förutsätter komplettering i nationell rätt för att genomföras av medlemsstaterna. Utredningen anser att en möjlighet för den nationella myndigheten för cybersäkerhetscertifiering att besluta nödvändiga förelägganden, förenade med vite, utgör lämp- liga nationella åtgärder för att säkerställa efterlevnad av regelverket. Utfärdare av
201
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
Nedan motiverar utredningen sitt förslag till lagstiftningsåtgärd i denna del.
Den nationella myndigheten för cybersäkerhetscertifiering bör kunna meddela åtgärdsförelägganden
I linje med vad regeringen i skrivelsen En tydlig, rättssäker och effektiv tillsyn uttalat om behovet av att i vissa fall ge en tillsynsmyndighet möj- lighet att besluta om förelägganden i enskilda fall (skr. 2009/10:79 s. 44) bör övervägas om det även på tillämpningsområdet för EU:s cybersäkerhetsakt bör finnas en sådan möjlighet för att kunna styra beteendet hos tillsynsobjektet.
När den nationella myndigheten för cybersäkerhetscertifiering konstaterar att det förekommer mindre allvarliga brister i efterlev- naden av det europeiska ramverket för cybersäkerhetscertifiering hos tillsynsobjekten kan det i många fall vara tillräckligt att myndig- heten påpekar bristerna och att verksamhetsutövaren frivilligt åtar sig att åtgärda dem. Vid mer allvarliga brister kan det dock behövas en möjlighet att meddela formella åtgärdsförelägganden som kan för- enas med vite.2 Sådana förelägganden kan t.ex. behövas när det visar sig att en innehavare av ett europeiskt cybersäkerhetscertifikat eller att den som utfärdat en
2Regeringen har i skrivelsen En tydlig, rättssäker och effektiv tillsyn uttalat att ett tillsyns- organ bör ha en möjlighet att besluta om förelägganden i enskilda fall (skr. 2009/10:79 s. 44). Möjligheten att utforma föreläggandet för att kunna styra beteendet hos den objektsansvarige bör enligt dessa uttalanden vara vitt och i princip ansluta till tillsynens omfattning. Förelägg- andets utformning skapar enligt regeringen möjligheter för tillsynsorganet att anpassa ett in- gripande efter vad som är behövligt beroende på vilket område det handlar om. Det anges i skrivelsen att ett åtgärdsföreläggande bör kunna förenas med vite.
202
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
synens omfattning. Befogenheten att besluta förelägganden innefat- tar även förbudsföreläggande.
Möjligheten att förena åläggande med vite
Vite som föreläggs med stöd av 3 § lagen (1985:206) om viten (vites- lagen) ska fastställas till ett belopp som med hänsyn till vad som är känt om mottagarens ekonomiska förhållanden och omständigheterna i övrigt kan antas förmå den som det riktas mot att följa det föreläg- gande som är förenat med vitet. Med omständigheterna i övrigt avses bl.a. kostnaderna för föreläggandets fullgörande och omfattningen av de åtgärder som krävs. Beloppet bör vidare bestämmas med hän- syn till hur angeläget det är att föreläggandet följs. Om föreläggandet avser att tillgodose ett betydelsefullt samhällsintresse kan ett högre belopp vara motiverat. Myndigheterna kan emellertid inom ramen för 3 § viteslagen bestämma hur högt eller lågt belopp som helst.
Ett vite bör som huvudregel fastställas till ett bestämt belopp. Om det är lämpligt med hänsyn till omständigheterna får vite dock enligt 4 § viteslagen föreläggas som löpande vite. Vitet bestäms då till ett visst belopp för varje tidsperiod av viss längd under vilken före- läggandet inte har följts eller, om föreläggandet avser en återkom- mande förpliktelse, för varje gång adressaten underlåter att fullgöra denna. Om ett föreläggande inte följs kan myndigheten behöva upp- repa föreläggandet. Det kan i dessa fall vara lämpligt att höja vites- beloppet.
I28 §
Utredningen bedömer att det finns skäl att den nationella myn- digheten för cybersäkerhetscertifiering på motsvarande sätt bör ges möjlighet att förena ett åtgärdsföreläggande med vite i det fall till- synsobjektet underlåtenheter att leva upp till de krav som ställs i EU:s cybersäkerhetsakt, lagen och de föreskrifter som meddelats med stöd av lagen. Som framhållits ovan bör det finnas en möjlighet för myndigheten att vid olika slags åsidosättanden av reglerna i det europeiska ramverket för cybersäkerhetscertifiering och lagen samt föreskrifter som utfärdas med stöd av denna lag meddela ett åtgärds- föreläggande. Utredningen anser att den nationella myndigheten för
203
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
cybersäkerhetscertifiering bör ges möjlighet att förena ett föreläggande med vite i de fall ett sådant förfarande är påkallat och med tillämpning av de grundläggande principer som anges i viteslagen.
Det europeiska ramverket för cybersäkerhetscertifiering är på mot- svarande sätt som
Möjligheten för den nationella myndigheten för cybersäkerhets- certifiering att vitesförelägga den som ska lämna uppgifter eller till- träde till lokal bör dock i första hand ske när det kan befaras att den det gäller inte kommer att följa beslutet att lämna uppgifter eller fri- villigt medverka till en kontroll på platsen.
9.2.5Omedelbar verkställighet och inhibition
Bedömning: Den nationella myndigheten för cybersäkerhetscer- tifiering får bestämma att ett beslut om föreläggande ska gälla omedelbart. Bestämmelser om omedelbar verkställighet finns emel- lertid i förvaltningslagen (2017:900) och behöver inte tas in i den nya lagen.
Bestämmelser om inhibition finns i förvaltningsprocesslagen (1971:291) och behöver inte tas in i den nya lagen.
Om den nationella myndigheten för cybersäkerhetscertifiering kon- staterat att det finns skäl för att ingripa genom beslut om förelägg- ande finns det ofta ett behov av att beslutet blir gällande genast. T.ex. då myndigheten ser sig nödgad att besluta om att ett förfarande eller verksamhet inte får fortsätta kan det finnas skäl för omedelbar verk- ställighet för att förhindra eller minska sårbarheter och risken för skador. Skäl för myndigheten att verkställa ett beslut omedelbart gör sig också gällande beträffande dess beslut att förelägga tillsynsobjek- tet att lämna tillträde till lokaler och att lämna upplysningar, hand- lingar och liknande för att tillsynen ska kunna genomföras. I sådana fall kan det vara angeläget att beslutet inte förhalas genom ett över-
204
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
klagande. En kompletterande bestämmelse om rätten att bestämma att sådana beslut ska gälla omedelbart behöver emellertid inte införas i den nya lagen. Förvaltningslagen (2017:900) (FL) innehåller nämli- gen bestämmelser om när myndighetsbeslut får verkställas. Enligt 35 § får ett beslut alltid verkställas omedelbart bl.a. om det gäller endast tillfälligt eller om ett väsentligt allmänt eller enskilt intresse kräver det. Myndigheten ska dock först noga överväga om det finns skäl att avvakta med att verkställa beslutet på grund av att beslutet medför mycket ingripande verkningar för någon enskild, att verk- ställigheten inte kan återgå om ett överklagande av beslutet leder till att det upphävs, eller någon annan omständighet. Denna befintliga nationella reglering får i sammanhanget anses fullgod och välavvägd.
En domstol som ska pröva ett överklagande av ett förvaltnings- beslut som gäller omedelbart kan förordna att det överklagade be- slutet tills vidare inte ska gälla (s.k. inhibition). Möjligheten till in- hibition innebär att risken för att en aktör drabbas av skada på grund av ett felaktigt beslut av en tillsynsmyndighet minimeras. Bestäm- melser om inhibition finns i 28 § förvaltningsprocesslagen (1971:291) och behöver inte tas in i den nya lagen.
9.3Tillsynsbefogenheter med stöd av den nya lagen
Förslag: Den nationella myndigheten för cybersäkerhetscertifier- ing ska ha de befogenheter som anges i artikel 58.8 i EU:s cyber- säkerhetsakt även vid tillsynen över efterlevnaden av den nya lagen och föreskrifter som har meddelats i anslutning till lagen.
I kapitel 8 har utredningen redogjort för tillsynsuppgifterna för den nationella myndigheten för cybersäkerhetscertifiering. Tillsynen om- fattar alltså såväl EU:s cybersäkerhetsakt med anslutande certifier- ingsordningar som den nationella regleringen.
Utredningen finner följaktligen att de befogenheter som den natio- nella myndigheten för cybersäkerhetscertifiering har enligt arti- kel 58.8 i EU:s cybersäkerhetsakt även bör gälla vid tillsyn över att bestämmelserna i den nya lagen och andra föreskrifter som kom- pletterar lagen följs.
En utgångspunkt bör vara att den nationella myndigheten för cybersäkerhetscertifiering ska kunna få det underlag som behövs för
205
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
tillsynen genom kontakter med t.ex. tillverkare och leverantörer på marknaden som har utfärdat en
9.4Rätten att återkalla europeiska cybersäkerhetscertifikat
Förslag: Den nationella myndigheten för cybersäkerhetscertifi- ering ska få återkalla europeiska cybersäkerhetscertifikat som utfärdats av den myndigheten eller som utfärdats av organ för be- dömning av överensstämmelse i enlighet med artikel 56.6 i EU:s cybersäkerhetsakt, om sådana certifikat inte uppfyller kraven i akten eller en europeisk ordning för cybersäkerhetscertifiering.
Enligt artikel 58.8 e i EU:s cybersäkerhetsakt får en nationell myn- dighet för cybersäkerhetscertifiering, i enlighet med nationell rätt, återkalla europeiska cybersäkerhetscertifikat som utfärdats av den myndigheten respektive organ för bedömning av överensstämmelse i enlighet med artikel 56.6, om sådana certifikat inte uppfyller kraven i akten eller en europeisk ordning för cybersäkerhetscertifiering.
Av artikel 56 framgår att de organ för bedömning av överens- stämmelse som avses i artikel 60 får utfärda europeiska cybersäker- hetscertifikat i enlighet med vad som anges i denna och som avser assuransnivå ”grundläggande” eller ”betydande” Genom undantag från punkten 4, och när en europeisk ordning för cybersäkerhets- certifiering föreskriver det, får ett europeiskt cybersäkerhetscertifi- kat som är ett resultat av den ordningen utfärdas endast av ett offent- ligt organ. Ett sådant organ ska antingen vara en nationell myndighet för cybersäkerhetscertifiering som avses i artikel 58.1 eller ett offent- ligt organ som är ackrediterat som organ för bedömning av överens- stämmelse i enlighet med artikel 60.1.
Om en europeisk ordning för cybersäkerhetscertifiering som antagits enligt artikel 49 kräver assuransnivå ”hög” ska det europeiska
206
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
cybersäkerhetscertifikatet endast utfärdas av en nationell myndighet för cybersäkerhetscertifiering eller, efter bemyndigande av den myn- digheten, av ett organ för bedömning av överensstämmelse. Detta får ske först efter antingen ett förhandsgodkännande av myndig- heten för varje enskilt europeiskt cybersäkerhetscertifikat eller efter en allmän delegering på förhand av uppgiften att utfärda ett sådant europeiskt cybersäkerhetscertifikat till organet för bedömning av överensstämmelse.
Genomförandet av artikel 58.8 i EU:s cybersäkerhetsakt förut- sätter kompletterande reglering i nationell rätt. Den av utredningen föreslagna bestämmelsen ger den nationella myndigheten för cyber- säkerhetscertifiering motsvarande rätt att återkalla sådana europe- iska cybersäkerhetscertifikat som utfärdats av den myndigheten eller ett organ för bedömning av överensstämmelse som ackrediterats enligt artikel 60.1 och som inte längre uppfyller kraven i cybersäker- hetsakten eller en europeisk ordning för cybersäkerhetscertifiering.
9.5Sanktioner
9.5.1Inledning
I artikel 58.8 f i EU:s cybersäkerhetsakt anges att varje nationell myndigheter för cybersäkerhetscertifiering ska utdöma sanktioner i enlighet med nationell rätt och kräva att överträdelser av skyldig- heterna i förordningen omedelbart upphör.
I artikel 65 föreskrivs att medlemsstaterna ska fastställa regler om sanktioner för överträdelse av bestämmelserna i det europeiska ram- verket för cybersäkerhetscertifiering och vidta alla nödvändiga åt- gärder för att se till att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. Medlemsstaterna ska anmäla dessa regler och åtgärder samt ändringar av dessa utan dröjsmål till kom- missionen. I EU:s cybersäkerhetsakt saknas dock närmare riktlinjer för vilken typ av sanktioner som bör finnas eller i vilka fall en sank- tionsavgift bör tas ut av den som inte efterlever bestämmelserna i ramverket
Enligt utredningsdirektiven ska utredningen analysera behovet av att införa bestämmelser om sanktioner och hur ett sådant regel- system kan utformas.
207
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
9.5.2Allmänna utgångspunkter
Utredningen ska således överväga vilka former av sanktioner som är nödvändiga och lämpliga för att bidra till ett effektivt genomförande av det europeiska ramverket för cybersäkerhetscertifiering.
De sanktionsverktyg som normalt står till buds för staten är straff och sanktionsavgifter samt vite, förbud och återkallelse av tillstånd. Varken direktiven eller EU:s cybersäkerhetsakt innehåller några be- gränsningar i fråga om vilken sorts sanktioner som får eller bör över- vägas.
Till en början kan noteras att EU:s cybersäkerhetsakt ger den nationella myndigheten för cybersäkerhetscertifiering rätt att be- gränsa, tillfälligt upphäva eller återkalla bemyndiganden för organ för bedömning av överensstämmelse om dessa inte uppfyller kraven i förordningen.
Vidare får myndigheten återkalla europeiska cybersäkerhetscerti- fikat om sådana certifikat inte uppfyller kraven i förordningen eller en europeisk ordning för cybersäkerhetscertifiering.
Frågorna om bemyndigande och när en återkallelse bör komma i fråga har behandlats tidigare.
När det gäller behovet av att härutöver införa bestämmelser om straff eller sanktionsavgifter gör utredningen följande överväganden.
9.5.3Finns behov av straffrättsliga sanktioner?
Utgångspunkten är att kriminalisering som metod för att försöka hindra överträdelse av olika normer i samhället bör användas med försiktighet. Kriminalisering bör inte komma i fråga om det finns någon alternativ metod som är tillräckligt effektiv för att komma till rätta med det oönskade beteendet.
Genom förslagen om att utse en nationell myndighet med ansvar för tillsyn och föreslagna befogenheter införs ett system för tillsyn på cybersäkerhetsaktens tillämpningsområde; bl.a. får myndigheten användbara verktyg för att få till stånd rättelse av brister i arbetet med cybersäkerhetscertifiering.
Det kan mot den bakgrunden, och med hänsyn till möjligheten att införa ytterligare administrativa sanktioner, ifrågasättas om det är nödvändigt med en kriminalisering av överträdelser av det euro- peiska ramverket för cybersäkerhetscertifiering.
208
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
Det är vidare, enligt utredningens bedömning, tveksamt om straff skulle vara den mest effektiva sanktionen när det gäller åsidosättande av EU:s cybersäkerhetsakt och författning som meddelats med stöd av den akten. Aktörer som ska tillämpa regleringen utgörs främst av statliga myndigheter och företag. Straffansvar kan enligt svensk rätt endast träffa fysiska personer. Om straff införs skulle det i många fall vara svårt att identifiera en fysisk person som ansvarig för över- trädelsen och att leda i bevis att denna haft uppsåt eller varit oaktsam på det sätt som krävs för straffbarhet.
Härtill kommer att utredningen om genomförandet av
Utredningen gör sammantaget bedömningen att det för närva- rande inte finns tillräckliga skäl för att föreslå en kriminalisering för överträdelser av bestämmelserna i det europeiska ramverket för cyber- säkerhetscertifiering. Någon särskild straffbestämmelse bör alltså inte införas i detta läge. I första hand bör man försöka korrigera brister och överträdelser av regelsystemet genom administrativa åtgärder och sanktioner.
9.5.4Behovet av sanktionsavgift
Utredningen har föreslagit att den nationella myndigheten för cyber- säkerhetscertifiering ges möjlighet till administrativa ingripanden i form av åtgärdsföreläggande, meddela förbud och möjlighet att åter- kalla ett europeiskt certifikat. Sanktionsavgift är en annan admini- strativ sanktion som riktar sig mot en konstaterad överträdelse av en författningsbestämmelse men ingår inte i det straffrättsliga systemet. En sådan avgift kan också påföras oberoende av om reglerna över- trätts uppsåtligen eller av oaktsamhet.
209
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
Vid utformningen av sanktionssystemet bör utgångspunkterna vara desamma som när man i andra sammanhang infört sanktions- avgifter i den nationella rättsordningen (jfr t.ex. prop. 2017/18:232 s. 319). Det innebär att bestämmelserna om sanktionsavgift bör ut- formas i linje med hur sådana avgifter utformats inom andra områden.
Det innebär vidare att regeringens riktlinjer och Sveriges interna- tionella åtaganden, däribland åtagandena enligt Europakonventionen, samt att de rättssäkerhetskrav som ställs på sanktionsavgift ska få genomslag.
En annan utgångspunkt är att systemet bör vara ändamålsenligt och effektivt för att på ett verkningsfullt sätt motverka de brister som det är tänkt att åtgärda.
Ett syfte med sanktionsavgift är att skapa en kännbar ekonomisk sanktion mot juridiska personer och incitament att undvika över- trädelser av regelverk. Om sanktionsbeloppet är för lågt kan tillsyns- objektet/den objektsansvarige se avgiften som enbart en kostnad som det går att kalkylera med. När sanktionsavgift tas ut av en myn- dighet har den ekonomiska aspekten dock inte lika stor betydelse. Det kan vid ny lagstiftning även förekomma viss osäkerhet om hur sanktionssystemet ska tillämpas. Systemet måste därför utformas så att det är förutsebart och samtidigt möta kraven på en rättssäker pro- cess, rimlig handläggningstid och möjlighet till domstolsprövning. Frågor om sanktionsavgift bör därför regleras i lag och av lagen ska framgå när, hur och av vem sanktionsavgift får tas ut.
Vidare ska beaktas att ett system med sanktionsavgifter kan kräva ökade resurser hos den nationella myndigheten för cybersäkerhets- certifiering.
Eftersom utredningen föreslår att det införs en möjlighet att ut- färda vitessanktionerade åtgärdsförelägganden skulle införandet av sanktionsavgifter leda till att den nationella myndigheten för cyber- säkerhetscertifiering i vissa situationer kan välja mellan att genom- driva en åtgärd vid vite eller att i efterhand påföra sanktionsavgift. En fördel med detta är att ingripandemöjligheterna kan anpassas till behovet i det enskilda fallet.
Det ska noteras att det rör det sig om ett nytt, komplext och av- gränsat rättsområde. En nackdel är då att sanktionssystemet inte blir
210
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
så förutsägbart som är önskvärt.3 Samtidigt är en sanktionsavgift en skyndsam och tydlig sanktion som kan riktas både offentliga och privata aktörer vid mer allvarliga överträdelser av regelsystemet.
Det kan inte bortses från att risken att drabbas av en ekonomiskt kännbar sanktion bör vara avskräckande och kan bidra till att minska antalet överträdelser av regelsystemet. Bl.a. tvingas mindre seriösa aktörer som ger sig in på marknaden beakta risken att drabbas av sank- tioner om reglerna inte följs. En konsekvens av sådana sanktioner bör också bli att konsumenternas förtroende för branschen på sikt kan öka, vilket ligger i det allmännas intresse. Genom att införa en möj- lighet för den nationella myndigheten för cybersäkerhetscertifiering att i vissa fall besluta om sanktionsavgift skulle nämligen drivkrafterna för aktörerna att i förebyggande syfte anpassa sin verksamhet efter gällande krav öka. Detta gäller inte minst vid underlåtenhet att åt- gärda brister och sårbarheter som borde ha kunnat upptäckas och hanteras innan de orsakat en säkerhetsincident eller på annat sätt upp- märksammats, t.ex. inom ramen för ett tillsynsärende. Utan möjlig- heten till sanktionsavgift riskerar företagen i princip inte några sär- skilda konsekvenser för sådan underlåtenhet eftersom tillsynen endast är framåtsyftande. Det finns följaktligen anledning att anta att ett system med sanktionsavgifter är förhållandevis effektivt och även kan ha betydelse för andra staters förtroende för hur det euro- peiska ramverket för cybersäkerhetscertifiering tillämpas i Sverige. Mer direkta sanktioner än förelägganden vid vite bör även kunna vara mer effektiva i fall där det är systematiska brister som ligger bakom incidenterna.
Utredningen bedömer att enbart möjligheten att återkalla bemyn- diganden att utfärda cybersäkerhetscertifikat eller meddela åtgärds- föreläggande eller att återkalla ett certifikat inte är tillräckligt, särskilt med hänsyn till att cybersäkerhetscertifierade produkter, tjänster och processer kan förekomma i verksamheter som utgör samhällsviktig verksamhet och/eller i verksamheter som berör nationell säkerhet.
3Systemet med sanktionsavgifter medför högre krav på precision i de regler som kan ligga till grund för uttagande av avgiften. Dvs. det måste vara tydligt och förutsebart hur man ska leva upp till ett krav. Uttryckt med andra ord ska formuleringarna i lagen vara tillräckligt tydliga för att den aktuella sanktionsavgiften ska ha kunnat förutses (jfr Kammarrätten i Jönköpings dom den 22 november 2017 i mål nr
211
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
Även om EU:s cybersäkerhetsakt och det utkast till europeisk cybersäkerhetsordning som nu offentliggjorts endast reglerar möjlig- heten till frivillig certifiering av angivna
Det kan i detta sammanhang noteras att i propositionen med förslag till kompletterande bestämmelser till EU:s förordning om elektronisk identifiering (prop. 2015/16:72, s. 48 f.) gör regeringen bedömningen att överträdelser av förordningens bestämmelser är svårbedömda och därmed mindre lämpliga för sanktionsavgifter. Regeringen framhöll också att grunden för tillhandahållandet av be- trodda tjänster är att inblandade parter hyser tillit till den som till- handahåller den aktuella tjänsten. Denne kan dessutom förlora sin status som tillhandahållare av kvalificerade tjänster om man inte följer tillsynsmyndighetens föreläggande att vidta rättelse.
Utredningen finner inte skäl att göra någon bedömning av frågan om sanktionsavgift när det gäller överträdelser av den angivna för- ordningen. Samtidigt ska framhållas att det enligt utredningens be- dömning finns betydande skillnader mellan dessa två regelsystem vad gäller syftet och omfattningen av regelsystemens tillämpnings- områden. Till skillnad från regleringen av elektronisk signatur och betrodda tjänster, som i och för sig är viktiga tjänster inom olika verksamheter och samhällsområden, är syftet med det europeiska ram- verket för cybersäkerhetscertifiering att öka cybersäkerheten elek- troniska kommunikationsnät och kommunikationstjänster som har en avgörande betydelse för samhället. Informations- och kommuni- kationsteknik (IKT) är grunden för komplexa system som stöder viktiga samhällsverksamheter inom sektorer som hälso- och sjuk- vård, energi, finans och transporter samt bidrar till den inre markna- dens funktion. För att minska riskerna i och öka cybersäkerheten måste därför alla nödvändiga åtgärder vidtas i unionen så att nätverks-
4Det finns ännu inga formella beslut om att ta fram certifieringsordningar för internet of things (IoT), 5G,
212
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
och informationssystem, kommunikationsnät, digitala produkter, tjänster och enheter som används av myndigheter, organisationer, företag och privatpersoner skyddas bättre mot cyberhot.
Utredningen anser att förtroendet för och tilliten till att certifie- rade
Utredningen gör sammantaget bedömningen att även om en pröv- ning av en överträdelse i vissa fall kan innefatta komplexa och svår- bedömda frågor, av bl.a. teknisk natur, överväger vikten av att alla aktörer efterlever bestämmelserna i det europeiska ramverket för cybersäkerhetscertifiering, inte minst mot bakgrund av vikten av säkra och fungerande
213
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
9.5.5Överträdelser som ska leda till sanktionsavgift
Förslag: Sanktionsavgift ska tas ut av den som
1.utfärdar en
2.lämnar oriktiga eller ofullständiga uppgifter vid ansökan om cybersäkerhetscertifieringen enligt artikel 56.7 i EU:s cyber- säkerhetsakt och motsvarande europeisk ordning för cyber- säkerhetscertifiering,
3.innehar ett europeiskt cybersäkerhetscertifikat och underlåter att informera den myndighet eller det organ som avses arti- kel 56.8 punkt 7 i EU:s cybersäkerhetsakt om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överens- stämmelsen med de säkerhetskrav som gäller för den certifie- rade
4.utfärdat en
5.den som bryter mot villkor för utfärdande, bibehållande, fort- sättande och förnyelse av europeiska cybersäkerhetscertifikat samt villkor för inskränkning eller utvidgning av tillämpnings- området för certifiering enligt EU:s cybersäkerhetsakt eller mot- svarande europeisk ordning för cybersäkerhetscertifiering,
6.överträder ett beslut om förbud fattat av den nationella myn- digheten för cybersäkerhetscertifiering, eller
7.använder ett europeiskt cybersäkerhetscertifikat som blivit återkallat enligt artikel 58.8 e i EU:s cybersäkerhetsakt.
Frånvaron av fastställda europeiska ordningar för cybersäkerhetscer- tifiering innebär en utmaning att mer uttömmande ange vilka kon- kreta överträdelser av regelverket som bör komma ifråga för sank- tioner. Om det införs krav på obligatorisk cybersäkerhetscertifiering på området ökar dock behovet av ett effektivt sanktionssystem.
214
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
Flertalet aktörer som kommer att vara verksamma på marknaden för cybersäkerhetscertifiering är vinstdrivande företag som verkar i konkurrens med varandra. Fråga uppkommer då om behovet av att utforma regleringen så att den ger aktörerna tillräckliga drivkrafter att följa de krav som uppställs. Utgångspunkterna vid övervägande om vilka överträdelser av det europeiska ramverket för cybersäkerhets- certifiering som bör omfattas av sanktionsavgift bör i första hand vara syftet med regleringen, vikten av att bestämmelserna efterlevs och de skador som kan bedömas uppkomma vid överträdelser.
Det europeiska ramverket för cybersäkerhetscertifiering utgörs av bestämmelser som återfinns i EU:s cybersäkerhetsakt och i de europeiska ordningar för cybersäkerhetscertifiering som kommer att utfärdas med stöd av akten. Certifieringsverksamheten grundas för- utom på dessa bestämmelser även på internationella standarder, bl.a. vad som anges i Common Criteria (CC), samt tekniska standarder och andra kravspecifikationer. Det är således ett omfattade och kom- plext regelsystem, varför endast mer allvarliga och tydliga och avgrän- sade överträdelser bör omfattas av sanktionsavgift.
Den nationella myndigheten för cybersäkerhetscertifiering har i uppgift att kontrollera och övervaka efterlevnaden av bestämmelserna i det europeiska ramverket för cybersäkerhetscertifiering, bl.a. att till- verkare och leverantörer uppfyller sina skyldigheter enligt regelver- ket. För att myndigheten ska kunna fullgöra sitt uppdrag förutsätts att den får kunskap om att en
215
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
hetscertifiering främst förelägga
Av EU:s cybersäkerhetsakt och den aktuella europeiska ord- ningen för cybersäkerhetscertifiering framgår vidare de skyldigheter som gäller för den som utfärdar en
Utredningen anser att en tillverkare eller leverantör som gör sig skyldig till en överträdelse av EU:s cybersäkerhetsakt och de skyl- digheter som följer av en europeisk ordning för cybersäkerhetscerti- fiering ska – oavsett om det är fråga om en frivillig eller obligatorisk certifiering – kunna påföras en sanktionsavgift, bl.a. om en tillverkare eller leverantör tillhandhåller en
En sanktionsavgift bör dock bara komma i fråga för mer allvarliga överträdelser. Det bör för övrigt sakna betydelse om en skada fak- tiskt har inträffat eller inte.
9.5.6Vem ska påföras sanktionsavgiften?
I EU:s cybersäkerhetsakt saknas närmare bestämmelser om vilka som ska kunna drabbas av sanktioner. Sanktionsavgifter kan användas både mot juridiska och fysiska personer. Sanktionsavgift ska tas ut av den som gör sig skyldig till någon av de överträdelser som anges i lagen. En avgift kan därför tas ut av den som utfärdar en
216
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
9.5.7Sanktionsavgift ska alltid tas ut
Förslag: Regleringen av sanktionsavgifter ska bygga på strikt ansvar. Det ska vara obligatoriskt att ta ut sanktionsavgift när en bestämmelse i cybersäkerhetsakten och den nya lagen som kan föranleda avgift har överträtts.
Huvudregeln vid användande av sanktionsavgift är att avgiftsskyl- digheten ska bygga på strikt ansvar. Det behöver då inte bevisas att handlandet varit avsiktligt eller oaktsamt, vilket medför att system med sanktionsavgifter anses vara effektiva (se t.ex. prop. 2017/18:232 s. 324). För att inte den fördelen ska gå förlorad bör berörd aktör ha ett strikt ansvar för sådana överträdelser som kan föranleda att sank- tionsavgift tas ut. Det är också svårt att se att överträdelser i normal- fallet kan bero på annat än uppsåt eller oaktsamhet (jfr regeringens riktlinjer för att använda sanktionsavgift, prop. 1981/82:142 s. 24 och 25). Utredningen anser att det inte finns skäl att avvika från denna grundprincip när det gäller överträdelser av det europeiska ram- verket för cybersäkerhetscertifiering. Den ordning som föreslås byg- ger således på strikt ansvar, utan krav på uppsåt eller oaktsamhet. Det är tillräckligt för att kunna ta ut en sanktionsavgift att en över- trädelse har ägt rum.
Bestämmelser om sanktionsavgifter är vanligen obligatoriska, men den motsatta lösningen förekommer. Å ena sidan bör tillsynsmyndig- hetens möjligheter till mer skönsmässiga bedömningar som utgångs- punkt vara begränsade med hänsyn till behovet av likabehandling, objektivitet och proportionalitet (prop. 2017/18:205 s. 69 och 70).
Åandra sidan kan reglerna om cybersäkerhetscertifiering vara kom- plexa, och obligatoriskt beslutande om sanktionsavgifter kan lägga en stor börda på myndigheten med ansvar för tillsyn.5
Utredningen anser att övervägande skäl ändå talar för att det på det nu aktuella området bör vara obligatoriskt att besluta om sank- tionsavgift när förutsättningarna för det är uppfyllda. Detta minskar utrymmet för skönsmässiga bedömningar av den nationella myndig- heten för cybersäkerhetscertifiering och är dessutom bäst förenligt med förslaget om sanktionsavgift för mer allvarliga överträdelser av regelverket.
5Liknande resonemang har förts i betänkandet om Kompletteringar till den nya säkerhets- skyddslagen (SOU 2018:82).
217
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
En sådan utformning innebär också att det inte bör införas ett krav på att ett beslut om sanktion alltid ska föregås av ett åtgärds- föreläggande. Den nationella myndigheten för cybersäkerhetscerti- fiering bör dock ha möjlighet att under vissa förutsättningar sätta ned eller avstå från att ta ut en sanktionsavgift (se avsnitt 9.5.10).
9.5.8Den nationella myndigheten för cybersäkerhetscertifiering ska besluta om sanktionsavgift
Beslut om sanktionsavgift fattas som huvudregel av en tillsynsmyn- dighet eller av domstol efter ansökan från tillsynsmyndigheten.
Generellt sett anses en tillsynsmyndighet lämpad att besluta om sanktionsavgift när reglerna är relativt enkla att tillämpa, beslutsfatt- andet är förhållandevis schabloniserat och sanktionsbestämmelserna bygger på strikt ansvar. En domstol brukar anses mer lämpad att besluta om sanktionsavgift om det är aktuellt att pröva subjektiva rekvisit eller andra svårbedömda rekvisit (se t.ex. prop. 2017/18:205 s. 68).
En tillsynsmyndighet har genom tillsynsansvaret en god inblick i verksamheten och torde bli väl förtrogen med det europeiska ramverket för cybersäkerhetscertifiering. Den nationella myndig- heten för cybersäkerhetscertifiering bör ha, eller genom t.ex. kom- petensutveckling kunna skaffa sig, goda förutsättningar att upptäcka och bedöma överträdelser av bestämmelserna (jfr resonemangen i SOU 2013:38 s. 546).
En fördel med en ordning där myndigheten med ansvar för tillsyn fattar beslutet om sanktionsavgift är även att handläggningen blir snabbare eftersom en domstol inte måste involveras i hanteringen. Erfarenheter av sanktionsavgifter från andra områden talar för att systemet används betydligt mer när myndigheterna själva kan fatta beslutet jämfört med situationer där myndigheterna måste ansöka hos domstol. Erfarenheten visar dessutom att det är ovanligt att sank- tionsavgiftsbeslut som meddelas av en myndighet överklagas och att ändringsfrekvensen är låg i de fall som överklagas (se SOU 2014:83 s. 105).
Med hänsyn till det anförda bör det, enligt utredningens mening, vara den nationella myndigheten för cybersäkerhetscertifiering som bestämmer om sanktionsavgift ska tas ut i det enskilda fallet och hur hög avgiften i så fall ska vara.
218
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
9.5.9Sanktionsavgiftens storlek
Förslag: En sanktionsavgift ska bestämmas till lägst 10 000 kronor och högst 15 miljoner kronor.
Sanktionsavgifter kan vara utformade som på förhand bestämda be- lopp eller beloppsintervall, som gäller oavsett vem som begått över- trädelsen, eller vara kopplade till årsomsättning i näringsverksamhet. Det viktiga är att sanktionsavgifterna är effektiva, proportionerliga och avskräckande.
Överträdelser av det europeiska ramverket för cybersäkerhets- certifiering bedöms som tidigare angetts kunna påverka samhällsvik- tig verksamhet och även leda till allvarlig skada för Sveriges säkerhet. Därför bör maximibeloppet sättas så högt att det får en avskräckande effekt.6 Systemet får inte heller bli verkningslöst för de som väljer att använda sig av det.
Bestämmelserna i det europeiska ramverket för cybersäkerhets- certifiering kommer att omfatta såväl myndigheter som företag. Aktörerna kommer dock att skilja sig mycket från varandra vad gäller t.ex. storlek och ekonomiska förutsättningar. Detta innebär att vad som upplevs som en avhållande avgift av en aktör med mått- liga ekonomiska resurser kan framstå som i det närmaste obetydlig för en aktör med stora resurser. Skillnaderna kommer att finnas mellan olika aktörer, när det gäller företag, i olika branscher och mellan företag inom samma bransch.
Med hänsyn till att de aktörer som omfattas av bestämmelserna är både myndigheter och företag är det inte lämpligt att koppla sanktionsavgiften till omsättning, utan att ett system med bestämda beloppsintervall är att föredra (jfr bedömningarna i prop. 2017/18:205 s. 70 och 71 samt SOU 2018:82 s. 442 f.).
För att sanktionsavgifterna ska vara effektiva, proportionerliga och avskräckande bör intervallet för sanktionsavgiften vara förhåll- andevis stort. Den nationella myndigheten för cybersäkerhetscerti-
6Dessutom bör beaktas att bristande efterlevnad av regelverket för europeisk cybersäkerhets- certifiering, i tillämpliga fall, kan föranleda ingripanden mot själva certifikatet, såsom åter- kallelse. Vidare kan överträdelser straffas av marknaden i sig då en grund för en affärsverk- samhet att tillhandahålla cybersäkerhetscertifierad IKT torde bygga på att inblandade parter hyser tillit till att tillverkaren och leverantören uppfyller uppställda krav (jfr resonemanget i prop. 2015/16:72 s. 48 f.).
219
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
fiering får då möjlighet att göra en nyanserad bedömning när av- giftens storlek ska bestämmas.
När det gäller bestämmandet av ett lämpligt beloppsintervall kan en jämförelse göras med de belopp som kan komma ifråga vid all- varliga överträdelser av bl.a.
(10)miljoner kronor. En sådan avgift har av regeringen bedömts utgöra en effektiv, proportionell och avskräckande sanktion mot allvarliga överträdelser (jfr prop. 2017/18:205 s. 71). En jämförelse kan även göras med betänkandet Organisation och samordning av marknadskontroll (SOU 2020:49) där det föreslagits att en mark- nadskontrollmyndighet ska kunna ta ut en sanktionsavgift på mellan 15 000 kronor och 15 miljoner kronor. Det högre spannet motiveras av att brister i överensstämmelse med produktrelaterade krav i värsta fall kan innebära stora risker för människors liv och hälsa, och även för miljön. Utredningen noterar att marknadskontrollen har flera likheter med området för europeisk cybersäkerhetscertifiering.
Mot bakgrund av det ovan angivna, och med beaktande av före- komsten av stora globala aktörer på
220
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
9.5.10Sanktionsavgiftens storlek i det enskilda fallet
Förslag: När sanktionsavgiftens storlek ska bestämmas ska hän- syn tas till den skada eller risk för skada som uppstått till följd av överträdelsen, om den avgiftsskyldige tidigare begått en överträ- delse och de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen.
Den nationella myndigheten för cybersäkerhetscertifiering får besluta att sätta ned eller avstå från att ta ut en sanktionsavgift om överträdelsen är ringa eller ursäktlig eller om det annars med hän- syn till omständigheterna skulle vara oskäligt att ta ut avgiften.
När storleken på sanktionsavgiften ska bestämmas i det enskilda fallet bör hänsyn tas till alla relevanta omständigheter. Det är inte möjligt att i den nya lagen ange samtliga relevanta omständigheter som kan behöva beaktas i enskilda fall. Vi bedömer dock att lagen bör innehålla en bestämmelse som anger omständigheter som sär- skilt bör beaktas.
De omständigheter som är särskilt viktiga att beakta och som alltså bör tas in i lagen är den skada eller risk för skada som uppstått till följd av överträdelsen, om den avgiftsskyldige tidigare begått en överträdelse och de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen. En försvårande omständighet vid bedömningen av skadan eller risken för skada är om överträdelsen medför sårbar- het eller risk för skada på bl.a. samhällsviktig verksamhet och/eller säkerhetskänslig verksamhet. Värt att beakta särskilt är också om större konsumentskaror drabbats av överträdelsen. Exempel på om- ständigheter som kan komma att påverka beloppets storlek men inte behöver tas in i lagen är även hur länge överträdelsen pågått. Om den avgiftsskyldige tidigare gjort sig skyldig till överträdelse av lagen kan det bli aktuellt att beakta om överträdelserna är likartade samt den tid som har gått mellan de olika överträdelserna.
Vissa omständigheter kan det finnas anledning att beakta i mild- rande riktning. Att en verksamhet aktivt samarbetat med tillsyns- myndigheten för att komma till rätta med överträdelser kan vara en sådan omständighet samt om verksamheten snabbt har vidtagit rät- telse (jfr t.ex. 15 kap. lagen om bank- och finansieringsrörelse och prop. 2016/17:22 s. 220 och 221).
221
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
Att avgiftsskyldigheten bygger på strikt ansvar innebär att det behöver finnas en möjlighet för den nationella myndigheten för cybersäkerhetscertifiering att underlåta att besluta om sanktions- avgift. Det bör därför införas en bestämmelse som ger myndigheten utrymme att jämka eller avstå från att ta ut avgiften i fall där det inte framstår som rimligt och proportionerligt att ta ut avgift, t.ex. när överträdelsen skulle kunna anses ursäktlig. Det kan exempelvis vara oskäligt att ta ut en avgift om den avgiftsskyldige redan har drabbats av en sanktionsavgift enligt något annat regelverk för i princip samma brist. Att regelverket har överträtts på ett sådant sätt att det varit närmast omöjligt för den avgiftsskyldige att upptäcka överträ- delsen eller överträdelsen på annat sätt varit utom den avgiftsskyl- diges kontroll, kan i undantagsfall göra överträdelsen ursäktlig och därför utgöra grund för jämkning. Det kan också finnas grund för jämkning när det rör sig om en bedömningsfråga, t.ex. vilka certifier- ingsåtgärder som är nödvändiga i ett visst sammanhang och berörd aktör trots en gedigen granskning gjort en felaktig bedömning. Det är däremot inte oskäligt att ta ut en sanktionsavgift när överträdelsen exempelvis berott på att en aktör inte känt till reglerna eller över- trädelsen berott på dålig ekonomi, tidsbrist eller bristande rutiner.
9.5.11Hinder mot sanktionsavgift
Förslag: En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
Enligt Europakonventionen och EU:s stadga om de grundläggande rättigheterna finns en rätt att inte bli lagförd eller straffad två gånger för samma brott (gärning), det s.k. dubbelbestraffningsförbudet. Som regeringen har konstaterat i flera lagstiftningsärenden får be- greppet straff i den mening som avses i Europakonventionen anses omfatta vite (se prop. 2007/08:107 s. 24 och prop. 2012/13:143 s. 69).
Om ett vite har dömts ut bör det därför inte vara möjligt att besluta om en sanktion – administrativ eller straffrättslig – för samma sak. Den avgörande tidpunkten för när sådant hinder upp- kommer bör anses vara när det inleds en domstolsprocess angående frågan om utdömande av vite (jfr prop. 2016/17:22 s. 228).
222
SOU 2020:58 |
Tillsynsbefogenheter och sanktioner |
Ett föreläggande om vite bör därför inte hindra ett senare ingri- pande med sanktionsavgift så länge som den nationella myndigheten för cybersäkerhetscertifiering inte har ansökt om utdömande av vitet. När den nationella myndigheten för cybersäkerhetscertifiering har ansökt om utdömande av vitet bör myndigheten dock vara förhind- rad att besluta om sanktionsavgift för en överträdelse som omfattas av vitesföreläggandet. En bestämmelse om detta bör tas in i den nya lagen. Dock ska obligatoriskt uttagande av sanktionsavgift inte möj- liggöra att ett åtgärdsföreläggande beslutas därefter och vite utdöms om den ansvarige trots sanktionsavgift och föreläggande ändå inte vidtar rättelse.
9.5.12Förfarandet vid beslut om sanktionsavgift
Förslag: En sanktionsavgift får endast beslutas om den som av- giften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
En sanktionsavgift ska betalas till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verk- ställighet ske enligt utsökningsbalken.
En sanktionsavgift tillfaller staten.
En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Beslut om administrativa sanktionsavgifter är en särskilt ingripande åtgärd. I likhet med vad som gäller enligt bl.a.
Enligt
223
Tillsynsbefogenheter och sanktioner |
SOU 2020:58 |
två år från överträdelsen. I propositionen angav regeringen att en sådan gräns bör finnas på grund av sanktionsavgiftens ingripande natur (prop. 2017/18:205 s. 74). Man har även anslutit sig till detta resonemang i betänkandet Kompletteringar till den nya säkerhets- skyddslagen (SOU 2018:82). Samma skäl gör sig gällande i fråga om sanktionsavgift för överträdelser av det europeiska ramverket för cybersäkerhetscertifiering.
En bortre tidsgräns för när en sanktionsavgift får beslutas bör finnas och att två år är en rimlig sådan gräns. En bestämmelse med motsvarande innebörd som i den nyss nämnda lagen bör alltså införas i lagen med kompletterande bestämmelser till EU:s cybersäkerhets- akt. Liksom i andra liknande fall bör bevisbördan för att kommuni- kation har skett ligga på tillsynsmyndigheten (jfr prop. 2017/18:205 s. 74).
För att regleringen om sanktionsavgifter ska bli tillräckligt hand- lingsdirigerande och effektiv bör den avgift som den nationella myn- digheten för cybersäkerhetscertifiering beslutat kunna drivas in utan att det krävs något domstolsavgörande. Det bör därför föreskrivas att betalning av sanktionsavgift ska ske till den nationella myndig- heten för cybersäkerhetscertifiering inom 30 dagar från det att be- slutet om sanktionsavgift vann laga kraft eller annars inom den längre tid som anges i beslutet. Det bör vidare föreskrivas att myn- digheten ska lämna den obetalda avgiften för indrivning om avgiften inte betalas inom denna tid.
I allmänhet gäller för den här typen av avgifter att de preskriberas i den utsträckning verkställighet inte har skett inom fem år. Det sak- nas anledning att införa annan preskriptionstid än den som i allmän- het används. Preskriptionstiden bör därför vara fem år.
Sanktionsavgiften bör tillfalla staten.
224
10Organ för bedömning av överensstämmelse
10.1Inledning
I detta kapitel behandlas frågan om behovet av kompletterande nationella bestämmelser när det gäller ackreditering av organ för bedömning av överensstämmelse enligt EU:s cybersäkerhetsakt och förutsättningar för att överlämna uppgiften att utfärda cybersäker- hetscertifikat till sådana organ enligt artiklarna 56.4, 56.5 b, 56.6 eller
60.3i cybersäkerhetsakten. Vidare behandlas anmälningsförfarandet för ackrediterade organ för bedömning av överensstämmelse till kommissionen enligt artikel 61.
10.2Bakgrund
Ackreditering är en term som ibland används som synonym för cer- tifiering eller registrering.1 I rättslig mening innebär ackreditering att ett företag, en organisation eller en person får ett opartiskt och inter- nationellt accepterat godkännande av att ha kompetens, system och rutiner för att utföra vissa bestämda uppgifter inom provning, kon- troll eller certifiering. Ackrediteringen meddelas av ett särskilt ackrediteringsorgan (en myndighet) efter genomförd utvärdering av en aktör. Närmare bestämt är alltså ackrediteringsorganet ett tredje- partsorgan som bedömer och kompetensprövar certifieringsorgan, besiktningsorgan, kontrollorgan och laboratorier. Ackreditering syftar till att bedöma och säkerställa att tillämpliga krav2 på aktö-
1Att ackreditera betyder att ”ge fullmakt åt” någon, Svenska Akademins ordlista (2015).
2Kraven avser teknisk kompetens, kapacitet och oberoende.
225
Organ för bedömning av överensstämmelse |
SOU 2020:58 |
rerna uppfylls. Som huvudregel ska också ackreditering ligga till grund för utnämning av s.k. anmälda organ.3
Gemensamma bestämmelser för ackreditering inom EU finns i Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i sam- band med saluföring av produkter och upphävande av förordning (EEG) nr 339/93. Regleringen innebär att ett nationellt ackrediter- ingsorgan förklarar att ett organ för bedömning av överensstämmelse uppfyller kraven i harmoniserade standarder och, i förekommande fall, ytterligare krav.
Begreppet ackreditering definieras i artikel 2 i förordningen som en förklaring från ett nationellt ackrediteringsorgan om att ett organ för bedömning av överensstämmelse4 uppfyller kraven i harmonise- rade standarder och, i förekommande fall, eventuella ytterligare krav. Sådana krav kan vara bl.a. de som fastställs i sektorsspecifika pro- gram för att utföra specifika bedömningar av överensstämmelse.5
För att säkerställa att ackrediteringsorganet som utför ackrediter- ing också är oberoende och kompetent att utföra ackreditering har ett antal internationella procedurer och standarder fastställts i med- verkan av ackrediteringsorgan i olika stater. Kraven på de organ som ackrediterats har också fastställts i standarder.
Det krävs vidare att varje medlemsstat måste ha ett nationellt ackrediteringsorgan, som ska handha ackreditering avseende såväl obligatorisk som frivillig provning och kontroll. Den nationella ackrediteringen ska vara fri från kommersiell konkurrens och be- drivas som en
3För vissa produkter krävs att en bedömning görs av en tredje part; ett till Europeiska kom- missionen anmält organ som bedömts kompetent. Kommissionen administrerar en databas med uppgifter om anmälda organ kallad Nando (New Approach Notified and Designated Organisations). Genom Nando går det att ta reda på vilket organ som har tilldelats ett visst nummer och vilka uppgifter organet har befogenhet att utföra.
4Överensstämmelse innebär uppfyllande av ett krav.
5I cybersäkerhetsaktens allmänna bestämmelser hänvisas till relevanta definitioner i förord- ning (EG) nr 765/2008 i fråga om ackreditering och bedömning av överensstämmelse.
226
SOU 2020:58 |
Organ för bedömning av överensstämmelse |
10.3Bestämmelser i EU:s cybersäkerhetsakt om ackreditering av organ för bedömning av överensstämmelse
Det europeiska ramverket för cybersäkerhetscertifiering syftar till en harmonisering av regler för cybersäkerhetscertifiering. Regel- verket avser vidare att öka cybersäkerheten och den inre marknadens funktion, t.ex. vad avser fri rörlighet på den inre marknaden. För att kunna uppnå detta måste de krav som ställs på ackrediterade organ för bedömning av överensstämmelse och de regler som ska gälla för dessas verksamhet vara så enhetliga som möjligt inom unionen.
Av artikel 56.4 i EU:s cybersäkerhetsakt följer att de organ för bedömning av överensstämmelse som avses i artikel 60 ska utfärda europeiska cybersäkerhetscertifikat som avser assuransnivå ”grund- läggande” eller ”betydande” på grundval av de kriterier som ingår i en europeisk ordningen för cybersäkerhetscertifiering.
I artikel 60.1 föreskrivs att organen för bedömning av överens- stämmelse ska ackrediteras av det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/2008. En sådan ackreditering ska endast utfärdas under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till EU:s cybersäkerhetsakt.
I artikel 60.2 föreskrivs att om ett europeiskt cybersäkerhets- certifikat utfärdas av en nationell myndighet för cybersäkerhetscerti- fiering enligt artiklarna 56.5 a och 56.6 ska certifieringsorganet hos den nationella myndigheten för cybersäkerhetscertifiering ackrediteras som ett organ för bedömning av överensstämmelse enligt punkten 1.
Av artikel 60.3 framgår att om de europeiska ordningarna för cybersäkerhetscertifiering innehåller särskilda eller ytterligare krav enligt artikel 54.1 f ska endast organ för bedömning av överensstäm- melse som uppfyller dessa krav bemyndigas av den nationella myn- digheten för cybersäkerhetscertifiering att utföra uppgifter inom ramen för sådana ordningar.
Ackrediteringen som avses i artikel 60.1 ska utfärdas till organen för bedömning av överensstämmelse för en period på högst fem år och får förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven som anges i artikel 60.
227
Organ för bedömning av överensstämmelse |
SOU 2020:58 |
I bilagan till EU:s cybersäkerhetsakt framgår att de organ för bedömning av överensstämmelse som önskar bli ackrediterade ska uppfylla bl.a. följande krav:
–Ett organ för bedömning av överensstämmelse ska inrättas i en- lighet med nationell rätt och vara en juridisk person.
–Ett organ för bedömning av överensstämmelse ska vara ett tredje- partsorgan som är oberoende av den organisation eller de IKT- produkter,
–Organen för bedömning av överensstämmelse, deras högsta led- ning och den personal som ansvarar för att utföra bedömningen av överensstämmelse får inte utgöras av den som konstruerar, till- verkar, levererar, installerar, köper, äger, använder eller underhål- ler den
–Organen för bedömning av överensstämmelse, deras högsta led- ning och den personal som ansvarar för genomförandet av be- dömningen av överensstämmelse får varken delta direkt i kon- struktionen, tillverkningen, marknadsföringen, installationen, användningen eller underhållet av dessa
–Organen för bedömning av överensstämmelse, deras högsta led- ning och den personal som ansvarar för genomförandet av be- dömningen av överensstämmelse får inte delta i någon verksam- het som kan påverka deras objektivitet eller integritet i samband med den bedömningen av överensstämmelse. Det förbudet ska framför allt gälla konsulttjänster.
–Organen för bedömning av överensstämmelse ska också uppfylla de krav som anges i relevant standard som harmoniserats enligt förordning (EG) nr 765/2008 för ackreditering av organ för be- dömning av överensstämmelse som utför certifiering av IKT- produkter,
Förutom det ovan angivna ställs även krav på bl.a. kompetens och teknisk expertis hos organen för bedömning av överensstämmelse (se bilaga 3). De organ för bedömning av överensstämmelse som an-
228
SOU 2020:58 |
Organ för bedömning av överensstämmelse |
ges i artikel 60.1 ska således utöver de krav som gäller för ackredi- teringen enligt regelverket för ackreditering även uppfylla de krav som följer av EU:s cybersäkerhetsakt och de krav som kan till- komma i europeiska ordningar för cybersäkerhetscertifiering.
10.4Gällande reglering om ackreditering och bedömning av överensstämmelse
Lagen (2011:791) om ackreditering och teknisk kontroll innebär att svensk rätt anpassas till förordning (EG) nr 765/2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter när det gäller ackreditering och
Ett organ som vill bli ackrediterat måste lämna en ansökan till Swedac som prövar och bedömer om organet uppfyller de krav som ställs i förordning (EG) nr 765/2008, lagen och förordningen om ackreditering och teknisk kontroll och de föreskrifter som Swedac har utfärdat för det aktuella området. Organet måste även uppfylla de sektorsspecifika myndighetsföreskrifter eller andra krav som orga- net ska arbeta i enlighet med.
Efter att en verksamhet ackrediterats genomför Swedac regel- bundet granskningar av att kraven som ställs på kompetens och arbetsrutiner uppfylls.
Swedac har meddelat föreskrifter och allmänna råd om ackredi- tering som tillämpas på organ som beviljats eller ansöker om ackre- ditering hos Swedac.6 Ett organ som omfattas av föreskrifterna ska på Swedacs begäran ge tillträde till lokaler, upplysningar och hand-
6STAFS 2015:8.
229
Organ för bedömning av överensstämmelse |
SOU 2020:58 |
lingar i den utsträckning som behövs för tillsyn enligt 19 § lagen (2011:791) om ackreditering och teknisk kontroll.
Swedac har meddelat föreskrifter och allmänna råd om ackredi- tering av organ som certifierar produkter: STAFS 2013:5. Dessa föreskrifter tillämpas på organ som är eller ansöker om att bli ackre- diterade av Swedac för certifiering av produkter. En förutsättning för ackreditering för certifiering är att den ansökande kan visa att kraven i den internationella standarden ISO/IEC 17065:2012 upp- fylls. Föreskrifterna kompletterar Swedacs föreskrifter och allmänna råd (STAFS 2015:8) om ackreditering.
I Sverige är det Swedac som efter kompetensbedömning anmäler svenska organ till kommissionen. Swedac ansvarar även för att föra in information om svenska anmälda organ i kommissionens infor- mationssystem Nando.
Förhållandet till standarder
Swedacs koppling till standardiseringsfrågorna sammanhänger med dess roll som organ för den nationella ackrediteringen, som bygger på standarder. Swedac måste som ackrediteringsorgan följa standar- den ISO/IEC 17011 för sin egen verksamhet (och i sitt ackrediter- ingsarbete tillämpas andra
Att Swedac och ackrediteringsorgan i olika länder arbetar enligt samma standarder underlättar ömsesidiga godkännanden av kom- petensen hos ackrediterade organ. Detta i sin tur underlättar inter- nationell handel eftersom certifikat som utfärdats av ett ackrediterat organ i ett land erkänns i ett annat land och ingen ytterligare kontroll behöver ske. Det är särskilt viktigt för små och medelstora företag eftersom dessa normalt har större svårigheter än större företag att hantera olika länders krav på teknisk kontroll.
Påverkan på gällande reglering
Swedac utfärdar inte några egna föreskrifter med krav som organ för bedömning för överensstämmelse ska leva upp till, utan andra myndigheter tar fram regler som Swedac sedan applicerar när man granskar sina kunder och deras efterlevnad av föreskrifterna. Här är det alltså inte själva produkterna som granskas. Det sker ett sam-
230
SOU 2020:58 |
Organ för bedömning av överensstämmelse |
arbete med utfärdande myndighet och Swedac gör i sin verksamhet närmast en tolkning av föreskrifterna i respektive fall. Möjligheten att påverka utformningen av kraven ligger främst i att Swedac vid remittering får yttra sig över samtliga tekniska föreskrifter.
Swedac anger att myndigheten fortsättningsvis kommer att ackre- ditera evalueringsorganisationer och certifieringsorgan mot redan befintliga kontrollordningar. Swedac noterar att Enisa fått i uppgift att evaluera ackrediteringsbara certifieringsordningar som aktörer därefter kommer att kunna certifiera sig mot. Swedac kommer, när certifieringsordningarna är klara, att ackreditera certifieringsorgan mot certifieringsordningarna.
Swedac har tidigare utfärdat flera föreskrifter för ackreditering inom området
Att Swedac upphävt sina tidigare föreskrifter om certifierings- organ och evalueringsorganisationer på
231
Organ för bedömning av överensstämmelse |
SOU 2020:58 |
10.5Behovet av kompletterande bestämmelser
Förslag: I lagen med kompletterande bestämmelser till EU:s cyber- säkerhetsakt ska det upplysningsvis anges att bestämmelser om ackreditering av organ för bedömning av överensstämmelse finns i förordning (EG) nr 765/2008 och i lagen (2011:791) om ackre- ditering och teknisk kontroll.
Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om krav för ackreditering av sådana organ.
I och med att EU:s cybersäkerhetsakt anger att organen för bedöm- ning av överensstämmelse ska vara ackrediterade enligt förordning (EG) nr 765/2008 finns det inget behov av att i den nya lagen ange att ackreditering ska ske på det sättet. Däremot bör det i lagen in- föras en upplysningsbestämmelse om var det finns bestämmelser om ackreditering.
Ibilagan till EU:s cybersäkerhetsakt finns emellertid bestämmel- ser om vilka krav som organ för bedömning av överensstämmelse som önskar bli ackrediterade ska uppfylla (se ovan). Som framgår finns det i lagen om ackreditering och teknisk kontroll bestämmelser inom det område som cybersäkerhetsakten omfattar. Den lagen har dock införts för att genomföra förordningen om ackreditering och lagen täcker inte hela aktens tillämpningsområde. Det kan finnas behov av kompletterande reglering avseende ackreditering och dessa bestämmelser bör till följd av cybersäkerhetsaktens införande samlas
iden nya lagen med kompletterande bestämmelser till den akten. Regeringen eller den myndighet regeringen utser ska bemyndigas
att meddela de ytterligare föreskrifter om ackreditering som kan be- hövas.
Gränsdragningen mellan myndigheten för cybersäkerhetscertifiering och Swedac vid tillsyn över ackrediterade organ för överensstämmelse
I utredningsdirektiven anges att utredningen bör – för att undvika att den nationella myndigheten för cybersäkerhetscertifiering till- delas uppgifter som redan utförs av Styrelsen för ackreditering och teknisk kontroll (Swedac) – kartlägga hur förhållandet mellan den myndigheten och Swedac ska se ut, i vilka fall de två myndigheterna
232
SOU 2020:58 |
Organ för bedömning av överensstämmelse |
ska samarbeta och vilket behov av kompletterande nationella be- stämmelser som behövs. Det är viktigt att i detta arbete beakta de kostnader, den tid och andra aspekter som en dubbel granskning av såväl Swedac som den nationella myndigheten för cybersäkerhets- certifiering kommer att innebära för den som blir granskad.
Utredningen bedömer att när det gäller Swedacs uppgifter och ansvar för såväl ackreditering som tillsyn av organ för bedömning av överensstämmelse framgår detta av gällande reglering om ackrediter- ing i förening med de ytterligare krav som anges i EU:s cybersäker- hetsakt och framtida genomförandeakter. Motsvarande gäller för den nationella myndigheten för cybersäkerhetscertifiering när det gäller tillsyn enligt EU:s cybersäkerhetsakt. Myndigheterna ska där- för samverka och samråda vid tillsyn över ett tillsynsobjekt för att undvika att oklarhet uppstår om vad tillsynen av respektive myndig- het omfattar och för att reducera kostnaderna för tillsynsobjektet.
10.6Överlämnande av förvaltningsuppgifter till organ för bedömning av överensstämmelse
Bedömning: I artiklarna 56.4, 56.6, 58.7 e och 60.3 i EU:s cyber- säkerhetsakt överlämnas certifieringsuppgifter, dvs. förvaltnings- uppgifter, till privaträttsliga organ för bedömning av överens- stämmelse. Denna reglering är att likställa med lag och innebär att det inte behövs kompletterande nationella bestämmelser till stöd för att överlämna dessa förvaltningsuppgifter till privaträtts- liga organ.
Överlämnande av förvaltningsuppgift
När det gäller frågan om det föreligger behov av nationella komplet- terande bestämmelser för att den nationella myndigheten för cyber- säkerhetscertifiering ska kunna överlämna, men även kunna återta, uppgiften att utfärda cybersäkerhetscertifikat till privaträttsliga sub- jekt i form av organ för bedömning av överensstämmelse gör utred- ningen följande överväganden.
Enligt 12 kap. 4 § andra stycket regeringsformen får överlämnande av en förvaltningsuppgift ske endast med stöd av lag. Av artikel 56.4
233
Organ för bedömning av överensstämmelse |
SOU 2020:58 |
i EU:s cybersäkerhetsakt följer att ett privat organ för bedömning av överensstämmelse som avses i artikel 60 får utfärda europeiska cybersäkerhetscertifikat på assuransnivå grundläggande och bety- dande. Utfärdande av cybersäkerhetscertifikat enligt EU:s cyber- säkerhetsakt bör ses som en förvaltningsuppgift som även kan inne- fatta myndighetsutövning, eftersom certifikatet, särskilt när det är fråga om obligatorisk cybersäkerhetscertifiering, utgör en förutsätt- ning för att en enskild tillverkare eller leverantör ska kunna tillhand- hålla
Krav på bemyndigande
När artikel 56.6 är tillämplig, dvs. när en europeisk ordning för cyber- säkerhetscertifiering kräver assuransnivå hög, är det en nationell myn- dighet för cybersäkerhetscertifiering som får utfärda ett cybersäker- hetscertifikat på den nivån. Myndigheten har dock möjlighet att på förhand delegera rätten att utfärda certifikatet till ett angivet ackre- diterat organ för bedömning av överensstämmelse eller besluta om en allmän delegering av den uppgiften till ett sådant organ för be- dömning av överensstämmelse. Av denna bestämmelse framgår så- ledes att den nationella myndigheten för cybersäkerhetscertifiering får överlämna till ett privat organ för bedömning av överensstäm- melse att utfärda angivna certifikat. Det behövs i detta fall därför ingen kompletterande nationell reglering.
Enligt artikel 58.7 e får en nationell myndighet för cybersäker- hetscertifiering i tillämpliga fall utfärda bemyndiganden enligt arti- kel 60.3 för kontrollorgan att utföra certifieringsuppgifter och be- gränsa, tillfälligt upphäva eller återkalla befintliga bemyndiganden om organet inte uppfyller kraven enligt EU:s cybersäkerhetsakt.
I artikel 60.3 anges att om en europeisk ordning för cybersäker- hetscertifiering innehåller särskilda eller ytterligare krav enligt arti- kel 54.1 f ska endast organ för bedömning av överensstämmelse som uppfyller dessa krav bemyndigas av den nationella myndigheten för cybersäkerhetscertifiering att utföra uppgifter inom ramen för så- dana ordningar.
234
SOU 2020:58 |
Organ för bedömning av överensstämmelse |
Som framgår ovan får således enligt artikel 60.3 i EU:s cyber- säkerhetsakt endast de organ för bedömning av överensstämmelse som uppfyller de krav som anges i de europeiska ordningarna för cybersäkerhetscertifiering eller ytterligare krav enligt artikel 54.1 f bemyndigas av den nationella myndigheten för cybersäkerhetscerti- fiering att utföra uppgifter inom ramen för sådana ordningar.
Ett beslut om överlämnande av uppgifterna kan också återkallas om certifikat utfärdas i strid mot gällande föreskrifter eller om den fysiska eller juridiska person som anförtrotts uppgiften på annat sätt visar sig olämplig att fullgöra denna. Den nationella myndigheten för cybersäkerhetscertifiering som genom ett bemyndigande beslutar att överlämna en uppgift till ett organ för bedömning av överens- stämmelse bör vara den myndighet som även återkallar sitt bemyn- digande, t.ex. när ett organ för bedömning av överensstämmelse inte längre uppfyller de villkor som anges i en europeisk ordning för cybersäkerhetscertifiering eller ytterligare krav enligt artikel 54.1 f.
Av de ovan angivna bestämmelserna framgår att den nationella myndigheten för cybersäkerhetscertifiering får både utfärda bemyn- diganden och återkalla sådana bemyndiganden när angivna förutsätt- ningar föreligger. Bestämmelserna, som är direkt tillämpliga, behöver ingen kompletterande nationell reglering.
10.7Anmälan av organ för bedömning
av överensstämmelse som har ackrediterats
För varje europeisk ordning för cybersäkerhetscertifiering ska den nationella myndigheten för cybersäkerhetscertifiering enligt arti- kel 61 i EU:s cybersäkerhetsakt anmäla till kommissionen de organ för bedömning av överensstämmelse som har ackrediterats och, i tillämpliga fall, bemyndigats i enlighet med artikel 60.3 att utfärda europeiska cybersäkerhetscertifikat på angivna assuransnivåer enligt artikel 52. Myndigheten ska även, utan onödigt dröjsmål, anmäla till kommissionen eventuella ändringar. Kommissionen ska senast ett år efter ikraftträdandet av en europeisk ordning för cybersäkerhets- certifiering offentliggöra en förteckning över de organ för bedöm- ning av överensstämmelse som har anmälts enligt den ordningen i Europeiska unionens officiella tidning.
235
Organ för bedömning av överensstämmelse |
SOU 2020:58 |
Myndigheten får lämna in en begäran till kommissionen om att stryka ett organ för bedömning av överensstämmelse, som anmälts av den myndigheten, från förteckningen. Kommissionen ska då offentliggöra motsvarande ändringar av förteckningen i Europeiska unionens officiella tidning inom en månad från och med dagen för mottagandet av begäran från den nationella myndigheten för cyber- säkerhetscertifiering.
Kommissionen får anta genomförandeakter för att fastställa för- utsättningar, format och förfaranden för anmälningar. Dessa genom- förandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 66.2.
Utredningen bedömer att det i denna del inte behövs någon kom- pletterande nationell reglering, utan det följer av EU:s cybersäker- hetsakt hur och av vem en anmälan till kommissionen ska göras.
236
11 Handläggning och rättsmedel
11.1Inledning
I detta kapitel redogör utredningen till en början för grundläggande förvaltningsrättsliga bestämmelser och principer som kan bli aktuella vid svenska myndigheters handläggning av ärenden. Utredningen behandlar sedan vilka handläggningsregler som blir tillämpliga för berörda myndigheter i samband med ansökan om respektive utfär- dande av cybersäkerhetscertifikat, i den nationella cybersäkerhets- certifieringsmyndighetens tillsynsverksamhet samt vid klagomål och när beslut fattats. Därefter utreds vad som gäller för ärendehandlägg- ningen hos privata organ för bedömning. Utredningen drar fortlöpande slutsatser om behovet av kompletterande nationella förfaranderegler. Slutligen hanterar utredningen frågan om överklagande som ett effek- tivt rättsmedel.
Enligt utredningsdirektiven ska utredningen lämna förslag till för- fattningsbestämmelser som kompletterar EU:s cybersäkerhetsakt och bl.a. analysera om det bör införas nationella bestämmelser om självbedömning av överensstämmelse och om organ för bedömning av överensstämmelse. Direktiven anger vidare att utredningen ska ta ställning till i vilken utsträckning det behövs kompletterande be- stämmelser om de rättsmedel för enskilda som regleras i EU:s cyber- säkerhetsakt. Cybersäkerhetsakten innehåller nämligen regler om rätt för enskilda att ge in klagomål och skyldigheter för certifikat- utfärdare och den nationella myndigheten för cybersäkerhetscerti- fiering att handlägga inkomna klagomål (artikel 63). Vidare ger cyber- säkerhetsakten enskilda rätt till ett effektivt rättsmedel mot organet eller myndigheten som fattat ett beslut eller underlåtit att vidta åt- gärder med anledning av ett klagomål (artikel 64).
Det europeiska ramverket för cybersäkerhetscertifiering innebär att
237
Handläggning och rättsmedel |
SOU 2020:58 |
överensstämmelse eller ansöka om cybersäkerhetscertifiering. Själv- bedömning av överensstämmelse görs hos tillverkaren eller leveran- tören medan ansökan om certifiering riktas till antingen en myndighet eller ett privaträttsligt organ för bedömning av överensstämmelse. I det sammanhanget uppkommer fråga om vilka bestämmelser som gäller vid hantering av en ansökan, framför allt om denna avser certi- fiering. Vidare kommer den nationella myndigheten för cybersäker- hetscertifiering att hantera ärenden inom ramen för sin tillsynsverk- samhet, vilket också aktualiserar frågan om tillämpliga handlägg- ningsregler.
11.2Myndigheters ärendehandläggning
11.2.1Regler i förvaltningslagen
Förvaltningslagens (2017:900) (FL) generella tillämpningsområde omfattar i princip all ärendehandling hos förvaltningsmyndigheterna. Vissa av lagens bestämmelser gäller också faktiskt handlande hos myndigheterna. Eftersom en ansökan om cybersäkerhetscertifikat hos den nationella myndigheten för cybersäkerhetscertifiering eller myndighetens tillsynsåtgärd i normalfallet innebär handläggnings- åtgärd hos myndighet redogörs för tillämpliga bestämmelser i lagen.
Av 1 § FL framgår att den lagen gäller för handläggning av ären- den hos förvaltningsmyndigheter och därför blir lagen tillämplig i samband med den ärendehandläggning som följer av det europeiska ramverket för cybersäkerhetscertifiering eller den kompletterande nationella lagstiftningen.
Förvaltningsmyndighet avser de myndigheter vars uppgift är att sköta offentliga förvaltningsuppgifter. Utanför FL:s tillämpnings- område faller normalt sådana organ som formellt är organiserade i privaträttsliga former, t.ex. bolag.
Förfarandereglerna i FL gäller som huvudregel i alla ärenden, inte bara i ärenden som avser myndighetsutövning1 mot enskild. Om en annan lag eller en förordning innehåller någon bestämmelse som av- viker från FL ska emellertid den bestämmelsen tillämpas (4 §). Det
1Myndighetsutövning avser situationer då myndigheter ensidigt fattar beslut eller vidtar andra åtgärder som ytterst utgör ett uttryck för samhällets makt över medborgarna och som får bestämda positiva eller negativa rättsverkningar för enskilda (jfr prop. 2016/17:180 s. 47 ff.). Begreppet har emellertid utmönstrats ur FL.
238
SOU 2020:58 |
Handläggning och rättsmedel |
kan här noteras att regler om handläggning vid t.ex. ansökan om cybersäkerhetscertifikat finns i EU:s cybersäkerhetsakt och kan antas finnas i framtida europeiska ordningar för cybersäkerhetscertifiering.
Till skillnad från annan förvaltningsverksamhet, dvs. det som vanligen brukar betecknas som faktiskt handlande, avslutas ärende- handläggningen med ett beslut av något slag. Ett beslut innefattar regelmässigt ett uttalande från en myndighet som är avsett att ha vissa verkningar för den som beslutet är riktat mot.2 Faktiskt hand- lande karaktäriseras i stället av att myndigheten i praktiken vidtar en viss faktisk åtgärd. Uttrycket handläggning innefattar alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det avslutas. Såväl utomstående som myndigheten själv kan ta initia- tiv till att ett sådant förfarande inleds.3 När ett ärende väl inletts är myndigheten skyldig att göra någon form av prövning av den fråga som aktualiseras (se prop. 2016/17:180 s. 23 f.).
Svensk förvaltningsrätt kräver en effektiv handläggning i förhåll- ande till enskilda som innebär att förvaltningsärenden ska avgöras utan oskälig fördröjning. Myndigheterna är skyldiga att handlägga ärendena så enkelt, snabbt och kostnadseffektivt som möjligt utan att rättssäkerheten eftersätts. Det ska vidare finnas tillräcklig möjlig- het för enskilda att vidta effektiva rättsliga åtgärder mot långsam handläggning (se prop. 2016/17:180 s. 105 ff. och 9 § FL).
Det finns också en allmän serviceskyldighet för myndigheter som kommer till uttryck i 6 § FL. Enligt bestämmelsen ska en myndighet se till att kontakterna med enskilda blir smidiga och enkla. Kraven på smidighet och enkelhet avser den enskildes rätt till ett positivt bemötande från myndighetens sida. Kravet på enkelhet innebär också att den enskilde inte behöver ha någon särskild sakkunskap innan denne kontaktar en myndighet i en viss fråga. Myndigheten ska även lämna den enskilde sådan hjälp att han eller hon kan ta till vara sina intressen. Hjälpen ska ges i den utsträckning som är lämplig med hänsyn till frågans art, den enskildes behov av hjälp och myn- dighetens verksamhet. Den ska vidare ges utan onödigt dröjsmål.
2När en myndighet lämnar upplysningar och råd med stöd av den allmänna bestämmelsen som serviceskyldighet i 6 § FL ger myndighetens besked dock inte uttryck för beslut i förvalt- ningsrättslig mening, även om informationen kan påverka mottagarens handlande.
3En enskild kan inleda ett ärende hos en myndighet genom en ansökan, anmälan eller annan framställning (19 §). Myndigheters möjligheter att på eget initiativ ta upp ärenden till behand- ling eller att inleda ett ärende hos en annan myndighet är inte reglerade i FL.
239
Handläggning och rättsmedel |
SOU 2020:58 |
Av allmänna förvaltningsrättsliga principer som intagits i svensk lag följer att i princip vem som helst kan göra en framställning till en myndighet, som då är skyldig att behandla den. En myndighet är enligt FL och inom ramen för sin allmänna serviceskyldighet skyldig att lämna enskilda råd och bl.a. hjälpa den enskilde till rätta med en ofullständig framställning och hur man gör en ansökan och vidare- befordra felsända handlingar till rätt myndighet.4 Myndigheten anses vidare vara skyldig att informera om handläggningen och resultatet av en framställning som gjorts och vid behov samverka med andra myndigheter. En myndighet som får in en framställning från en enskild anses också vara skyldig att lämna någon form av svar som inte får dröja längre än nödvändigt (prop. 1985/86:80 s. 59 och prop. 2016/17:180 s. 66 f.).
Enligt 8 § FL ska en myndighet inom sitt verksamhetsområde samverka med andra myndigheter. Syftet är att samverkan mellan myndigheter ska leda till att förvaltningen generellt ska bli så enhet- lig och effektiv som möjligt, men bestämmelsen utgör också ett led i regleringen av myndigheternas serviceskyldighet gentemot allmän- heten och underlättar enskildas kontakter med myndigheterna.
Krav på handläggningen av ärenden enligt FL inbegriper bl.a. rätt till partsinsyn (10 §), en huvudregel om kommunikationsskyldighet (25 §), dokumentation (27 och 31 §§), motiveringsskyldighet (32 §) samt underrättelse om beslut och överklagandemöjlighet (33 och 34 §§). En myndighet har vidare ett ansvar att se till att ärendet blir utrett i den omfattning som dess beskaffenhet kräver (23 §).
Myndigheter har för övrigt befogenhet och skyldighet att enligt
4För övrigt rymmer den allmänna serviceskyldigheten inom svensk förvaltningsrätt att en myndighet ska tillhandahålla de formulär och blanketter som behövs för verksamheten, t.ex. för att underlätta inlämningen av klagomål.
5Det förfarande som beskrivs som ändring av beslut beskrevs i den förra förvaltningslagen som omprövning.
240
SOU 2020:58 |
Handläggning och rättsmedel |
11.2.2Ärendehandläggning hos nationella myndigheter
Bedömning: I den mån det europeiska ramverket för cybersäker- hetscertifiering inte innehåller avvikande bestämmelser är förvalt- ningslagen (2017:900) tillämplig på berörda myndighets hand- läggning av ärenden. Det behövs inga kompletterande nationella regler om ärendehandläggningen hos myndigheterna.
Utredningen behandlar i denna del behovet av kompletterande natio- nella bestämmelser vid handläggningen av ärenden enligt det euro- peiska ramverket för cybersäkerhetscertifiering.
Förhållandet mellan det europeiska ramverket
för cybersäkerhetscertifiering och förvaltningslagen
Ett ärende om ansökan av cybersäkerhetscertifikat kan ha stor be- tydelse för den sökande och röra rättigheter och skyldigheter för en- skild. Utredningen bedömer att ärenden vid en myndighet som avser ansökan om utfärdande av ett europeiskt cybersäkerhetscertifikat med stöd av EU:s cybersäkerhetsakt och antagna europeiska ord- ningar för cybersäkerhetscertifiering i första hand ska handläggas och prövas enligt de bestämmelser som följer av dessa författningar. FL är subsidiär i förhållande till denna unionsrätt (se 4 §). I de fall det euro- peiska ramverket för cybersäkerhetscertifiering inte reglerar en viss fråga bör emellertid nationella handläggningsbestämmelser tillämpas.
Utredningen kan notera att EU:s cybersäkerhetsakt inte inne- håller några uttryckliga regler om handläggning av t.ex. ansökan om certifikat. Mot denna bakgrund och i avsaknad av annan reglering, eftersom någon europeisk ordning för cybersäkerhetscertifiering ännu inte fastställts, föreligger osäkerhet i vilken mån någon kom- pletterande nationell reglering behövs på området. Som ovan anges gäller emellertid FL subsidiärt och bör därför tillämpas när annan reglering inte finns i fråga om berörda myndigheters hantering av ansökningar om cybersäkerhetscertifiering.
Det innebär således att FL kompletterar de handläggningsregler som kan återfinnas i det euroepiska ramverket för cybersäkerhets- certifiering, bl.a. vid handläggning hos den nationella myndigheten för cybersäkerhetscertifiering och dess certifieringsorgan. FL gäller
241
Handläggning och rättsmedel |
SOU 2020:58 |
på motsvarande sätt även för andra offentliga organ för bedömning av överensstämmelse som bemyndigats enligt EU:s cybersäkerhets- akt att utfärda certifikat (jfr artikel 56.5 b och 56.6). Det kan noteras att organen för bedömning av överensstämmelse visserligen har att tillämpa standarder som innehåller vissa handläggningsförfaranden, men FL är inte subsidiär i förhållande till dessa (se 4 § FL) så länge detta inte särskilt anges i författning. Inte heller bedöms dessa organs interna förfarandedokument äga företräde framför FL. Den nationella myndigheten för cybersäkerhetscertifiering och offentliga organ för bedömning av överensstämmelse ska alltså följa FL:s regler i sam- band med att de tar emot en ansökan om cybersäkerhetscertifiering så länge inga avvikande förfaranderegler införts genom det euro- peiska ramverket för cybersäkerhetscertifiering.
Utredningen bedömer att det inte föreligger behov av komplet- terande nationella bestämmelser om handläggningen av ärenden hos den nationella myndigheten för cybersäkerhetscertifiering eller ett offentligt organ för bedömning av överensstämmelse.
För det fall en nationell myndighet har till uppgift att tillverka eller leverera en
Vad som anförts ovan i fråga om handläggningsregler gäller också vid den nationella cybersäkerhetscertifieringsmyndighetens tillsyn.
Den nationella myndigheten för cybersäkerhetscertifiering bör dock vid behov kunna meddela kompletterande verkställighetsföre- skrifter om t.ex. vad en ansökan ska omfatta och vad som i övrigt ska gälla för handläggningen och prövningen av ett sådant ärende. Myn- digheten bör även bemyndigas att meddela de föreskrifter som be- hövs för motsvarande handläggning av ansökan hos ett offentligt organ för bedömning av överensstämmelse som utfärdar ett europeiskt cybersäkerhetscertifikat enligt artiklarna 56.4, 56.5 b, 56.6 eller 60.3 (se nedan).
Frågan om vilka regler för handläggning som bör gälla i samband med klagomål enligt artiklarna 58.7 f och 63 behandlas i avsnitt 11.5.
242
SOU 2020:58 |
Handläggning och rättsmedel |
11.3Ärendehandläggning hos privata organ för bedömning av överensstämmelse
Förslag: Finner ett privaträttsligt organ för bedömning av över- ensstämmelse att ett beslut som det meddelat är uppenbart orik- tigt på grund av nya omständigheter eller av någon annan anled- ning ska organet ändra beslutet, om det kan ske snabbt och enkelt och utan att det blir till nackdel för någon enskild.
Bedömning: Det finns för närvarande inte skäl att införa en be- stämmelse om att förvaltningslagen (2017:900) ska vara tillämplig på privata ackrediterade organ för bedömningen av överensstäm- melse när ett sådant organ handlägger ett ärende enligt EU:s cyber- säkerhetsakt eller den nya kompletterande lagen.
Handläggning av ärenden
Utredningens analys och överväganden om behov av komplette- rande föreskrifter för överlämnande av uppgiften att utfärda certifi- kat till ett organ för bedömning av överensstämmelse redogörs för i avsnitt 10.6.
I frågan om vilka regler som bör gälla för handläggningen av en ansökan om utfärdande av certifikat hos ett privat organ för bedöm- ning av överensstämmelse, samt behovet av omprövning av sådana beslut, gör utredningen följande överväganden.
När de privata organen utför bedömning av överensstämmelse enligt det europeiska ramverket för cybersäkerhetscertifiering fattar de beslut som rör enskildas rättigheter och skyldigheter. T.ex. inne- fattar organens beviljande av eller avslag på ansökan om cybersäker- hetscertifiering myndighetsutövning.
Utgångspunkten är att det är fråga om privaträttsliga subjekt, huvudsakligen i form av juridiska personer som t.ex. ett aktiebolag. I likhet med vad som konstaterats i föregående avsnitt bör i första hand unionsrättsliga författningar6 som reglerar frågor om organens ärendehandläggning, dvs. de regler som anges i det europeiska ram- verket för cybersäkerhetscertifiering och som är tillämpliga på organen
6Såsom EU:s cybersäkerhetsakt (t.ex. skyldigheten i artikel 63.2 att underrätta klaganden om förfarandets fortskridande) och europeiska ordningar för cybersäkerhetscertifiering.
243
Handläggning och rättsmedel |
SOU 2020:58 |
(se avsnitt 11.5 för en närmare redogörelse av klagomålshanteringen). Då de privata organen för bedömning av överensstämmelse inte utgör myndigheter i förvaltningslagens mening – även om de anförtrotts offentliga förvaltningsuppgifter som innefattar myndighetsutövning
–är den lagen dock inte tillämplig på organens handläggning av ären- den. Däremot är lagen (1986:1142) om överklagande av beslut av en- skilda organ med offentliga förvaltningsuppgifter tillämplig. I denna lag – som gäller subsidiärt – regleras främst hur beslut överklagas, överklagandetiden, rättidsprövning och avvisning av för sent inkomna överklaganden. Därutöver bör det finnas förfaranden för ärende- hantering på grundval av tillämplig standard för ackrediteringen och övriga standarder som tillämpas.
Det kan noteras att privata organ för bedömning av överensstäm- melse inte har någon formell allmän serviceskyldighet som följer av förvaltningslagen. Samtidigt bör utgångspunkten för dessa organs verksamhet vara att iaktta motsvarande serviceskyldighet i sin verk- samhet, även om det inte finns någon formell skyldighet i detta av- seende. Detta särskilt mot bakgrund av att det är fråga om nya för- fattningsbestämmelser på ett i vissa avseenden mycket komplext sakområde och att det är frågan om en överlämnad förvaltnings- uppgift som i vissa fall även innefattar myndighetsutövning.
När offentliga förvaltningsuppgifter som innefattar myndighets- utövning överlämnas åt privaträttsliga organ brukar det i allmänhet anges i en särskild författning att vissa av FL:s bestämmelser ska tillämpas vid handläggningen av ärenden. De allmänna förvaltnings- rättsliga principer som gäller för myndigheternas handläggning är bara i begränsad utsträckning direkt tillämpliga i de privaträttsliga organens verksamhet. Några exempel är dock principerna om lega- litet, objektivet och saklighet som har sin grund i regeringsformen (1 kap. 1 och 9 §§ RF). Många av de specialförfattningar som avser privaträttsliga organs ärendehandläggning innehåller regleringar som avviker från vad som gäller enligt FL. Avvikande reglering finns t.ex. när det gäller handläggningstiden och verkställighet av beslut (se prop. 2017/18:235 s. 124 ff.).
Det kan i och för sig framstå som naturligt och konsekvent att samma krav på rättssäkerhet vid handläggningen av förvaltnings- ärenden upprätthålls oberoende av om uppgiften utförs av en myn- dighet eller överlämnats för att fullgöras av ett privaträttsligt organ. Tidigare utredningar har emellertid bedömt att det inte finns tillräck-
244
SOU 2020:58 |
Handläggning och rättsmedel |
liga belägg för en ordning helt grundad på FL med samma förfarande- regler för privaträttsliga organ (se bl.a. prop. 2016/17:180 s. 27). FL:s bestämmelser är utformade på ett sätt som inte alltid lämpar sig att tillämpas av privaträttsliga organ. Om det för handläggningen av en viss förvaltningsuppgift finns ett särskilt framträdande behov av att säkerställa att lagens förfaranderegler följs, bör detta kunna ske genom särskilda föreskrifter som meddelas för den verksamheten (se prop. 2016/17:180 s. 27).
I propositionen Följdändringar till ny förvaltningslag (2017/18:235) bedömde regeringen att hänvisningar till andra bestämmelser i FL än bestämmelserna om utredningsansvaret i 23 § och om dokumenta- tion av beslut i 31 § inte borde göras i uppräkningar som avser privat- rättsliga organs ärendehandläggning. När det gäller bestämmelsen om utredningsansvaret konstaterade regeringen att det fick förut- sättas att privaträttsliga organ redan vid sin ärendehandläggning ut- redde ärenden som rörde enskilda i den utsträckning som krävdes. Därför ansågs det både lämpligt och rimligt att de privaträttsliga organen skulle vara skyldiga att följa FL:s bestämmelser om utred- ningsansvaret. Med hänsyn till rättssäkerhetens krav framstod det enligt regeringen också som angeläget att skyldigheten att doku- mentera skriftliga beslut skulle gälla för de privaträttsliga organen på samma sätt som för myndigheterna.7
I lagrådsremissen En anpassning av bestämmelser om kontroll i livs- medelskedjan till EU:s nya kontrollförordning8 anges att vissa bestäm- melser i FL bör tillämpas när ett organ med delegerade uppgifter, eller en fysisk person som har delegerats uppgifter, utför offentlig kontroll eller annan offentlig verksamhet. För att en överprövande instans ska kunna ta ställning till om ett överklagat beslut är korrekt och för att enskilda ska kunna ta till vara sin möjlighet att överklaga ett beslut bör vissa bestämmelser i FL tillämpas. Det gäller att ett beslut ska vara motiverat (32 §), att den enskilde ska underrättas om beslutet (33 §) och hur ett överklagande går till (34 §). Vidare anges att bestämmelserna om legalitet, objektivitet och proportionalitet (5 §), partsinsyn (10 §), jäv
7I t.ex. växtskyddslagen (1972:318) föreskrivs att enskilda kontrollorgan ska tillämpa flera av förvaltningslagens bestämmelser (11 a §). Jfr även 7 kap. 10 § lagen om offentliga uppköps- erbjudanden på aktiemarknaden där ett organ med representativa företrädare för näringslivet som utför förvaltningsuppgifter ska tillämpa ett tiotal bestämmelser i förvaltningslagen.
8Europaparlamentets och rådets förordning (EU) 2017/625 om offentlig kontroll och annan offentlig verksamhet för att säkerställa tillämpningen av livsmedels- och foderlagstiftningen och av bestämmelser om djurs hälsa och djurskydd, växtskydd och växtskyddsmedel.
245
Handläggning och rättsmedel |
SOU 2020:58 |
man får lämna uppgifter muntligt (24 §), kommunikation (25 §), dokumentation av uppgifter (27 §), dokumentation av beslut (31 §), rättelse av skrivfel och liknande (36 §), samt vem som får överklaga ett beslut (42 §) bör tillämpas.
Utredningen har övervägt om det finns behov av att införa dessa bestämmelser i FL i den nya lagen för de privata kontrollorganens ärendehandläggning. Den lagrådsremiss som hänvisas till ovan avser livsmedelskontroll genom privaträttsliga kontrollorgan på uppdrag av bl.a. Livsmedelsverket. Även om det finns likheter med detta och det nu aktuella området föreligger också skillnader, bl.a. ska det ackre- diterade organet för bedömning av överensstämmelse som verkar i enlighet med EU:s cybersäkerhetsakt följa regler om handläggning enligt vad som anges i internationella standarder. Vidare är cyber- säkerhetscertifieringen frivillig eller obligatorisk och kontrollorganen verkar på en konkurrensutsatt marknad
Med hänsyn till att det redan finns en viss ordning för ärende- handläggning genom det europeiska ramverket för cybersäkerhets- certifiering och standarder som ackrediterade organ för bedömning av överensstämmelse ska tillämpa,9 samt då en författningsreglering av privaträttsliga organs ärendehandläggning utifrån FL ska vara motiverad av ett särskilt framträdande behov, bedömer utredningen att det för närvarande inte föreligger tillräckligt starka skäl att, ut- över en omprövningsskyldighet (se nedan), föreslå en ordning med formaliserade regler för handläggningen hos de privata kontroll- organen. Till detta kommer att det finns möjlighet att vända sig till den nationella myndigheten för cybersäkerhetscertifiering för till- synsåtgärder avseende certifieringen och klaga på fattade beslut (se nedan). Samtidigt vill utredningen framhålla att frågan om ytterligare reglering av ärendehandläggningen hos de privata kontrollorganen bör övervägas när ytterligare erfarenheter erhållits av cybersäkerhets- aktens tillämpning.
9För övrigt gäller förvaltningslagen för CSEC och andra offentliga organ för bedömning av överensstämmelse.
246
SOU 2020:58 |
Handläggning och rättsmedel |
Omprövning
Ett privat organ för bedömning av överensstämmelse bör ha en mot- svarande ärendehantering och ett klagomålsförfarande som gäller för ett offentligt organ för bedömning av överensstämmelse och som grundas på bl.a. tillämplig standard för ackreditering av sådana organ.10 I detta sammanhang kan noteras att när det gäller möjlighet till omprövning har FMV/CSEC inrättat ett sådant internt förfarande.11 Det kan noteras att den verksamheten i stor utsträckning grundas på de internationella arrangemangen CCRA respektive
införs.
Det kan i detta sammanhang noteras att det i t.ex. fordonslagen (2002:574) finns en regel om att ackrediterade besiktningsorgan ska vidta omprövning i vissa fall. Besiktningsorganen är även skyldiga att rapportera betydelsefulla iakttagelser till föreskrivande myndigheter. Utöver detta föreskriver lagen inget om besiktningsorganens ärende- handläggning. Lagrådet yttrade i prop. 2001/02:130 (s. 189) att det särskilt kunde övervägas huruvida den ordning för omprövning efter klagomål som AB Svensk Bilprovning iakttog borde regleras i för- fattning. Bolaget använde nämligen som kvalitetssystem standarden ISO 17020 (tidigare EN45004) som angav möjligheten till ompröv- ning av resultatet av t.ex. en kontrollbesiktning. Regeringen hänvisade till detta kvalitetssystem och framhöll att behovet av andra regler om ärendehandläggning än sådana som angav vad som skulle kontrolleras var relativt litet. I den efterföljande propositionen 2009/10:32 be- farade regeringen emellertid att det inte var möjligt att under den då gällande ordningen ha uppsikt över att besiktningsorganen verkligen tillämpade godtagbara omprövningsmöjligheter, bl.a. då systemet skulle fungera för många olika aktörer och
10Skyldigheten för organ för bedömning av överensstämmelse (inbegripet testlaboratorier) att inrätta ett klagomålsförfarande är ett vanligt inslag i standarder som används för ackreditering (t.ex.
11Till en början dokumenterar och utreder certifieringsorganet alla klagomål mot dess certifi- eringsaktiviteter.
247
Handläggning och rättsmedel |
SOU 2020:58 |
ing av omprövningsmöjligheten var ganska vag och övergripande till sin karaktär (s. 73). Man ansåg därför att det fanns ett starkt behov av att författningsreglera en omprövningsskyldighet, utformad med ledning av förvaltningslagen.
Mot den bakgrunden, och då ärenden avseende cybersäkerhets- certifiering är av mycket teknisk karaktär, får behovet, som ovan framgår, av formella regler om ärendehandläggningen i dessa fall minska (jfr prop. 2001/02:130 s. 93). Det finns dock skäl att i för- fattning reglera de ackrediterade bedömningsorganens skyldighet att ompröva ett tidigare beslut i ett certifieringsärende. En enskild bör därför ges möjlighet att i första hand få organen för bedömning av överensstämmelse att ompröva beslutet. Den regel om omprövnings- skyldighet som behövs kan lämpligen utformas med ledning av den generella regeln om omprövningsskyldighet som finns i förvalt- ningslagen. Enligt 38 § i den lagen ska en myndighet ändra ett beslut som den har meddelat som första instans om den anser att beslutet är uppenbart felaktigt i något väsentligt hänseende på grund av att det har tillkommit nya omständigheter eller av någon annan anled- ning, och beslutet kan ändras snabbt och enkelt och utan att det blir till nackdel för någon enskild part.12
11.4Effektiva rättsmedel
11.4.1Inledning
Enligt artikel 63.1 i EU:s cybersäkerhetsakt ska fysiska och juridiska personer ha rätt att lämna in klagomål till utfärdaren av ett europeiskt cybersäkerhetscertifikat eller till den berörda nationella myndig- heten för cybersäkerhetscertifiering. Myndigheten eller organet till vilket klagomålet lämnats in ska underrätta den klagande om hur förfarandet fortskrider och beslut som fattas (se artiklarna 58.7 f och 63.2). Vidare ska klaganden informeras om sin rätt till effektiva rätts- medel enligt artikel 64.
12Skyldigheten för en myndighet att ändra ett beslut gäller inte om det föreligger särskilda skäl mot det, t.ex. då en myndighet kommer fram till att ett överklagat beslut är oriktigt bara på en av flera punkter och att den punkten är mindre betydelsefull i sammanhanget. Det förhållandet att bara väsentliga oriktigheter behöver beaktas innebär att myndigheterna ges stöd för att avstå från att besluta om ändring i dessa fall (se prop. 1985/86:80 s. 79 och prop. 2016/17:180 s. 236).
248
SOU 2020:58 |
Handläggning och rättsmedel |
Enskilda ska enligt artikel 64 ha rätt till ett effektivt rättsmedel inför behörig nationell domstol mot den myndighet eller det organ som nämnts ovan och som fattat ett beslut, samt när det gäller underlåtenhet att vidta åtgärder med anledning av ett klagomål som lämnats in till myndigheten eller organet.
Enligt utredningsdirektiven torde rätten till effektiva rättsmedel beträffande den nationella cybersäkerhetscertifieringsmyndighetens befogenheter i artikel 58.8 för svensk del bäst tillgodoses genom en rätt för enskilda att överklaga myndighetens tillsynsbeslut till allmän förvaltningsdomstol.
I direktiven anges att bestämmelserna i de ovanstående frågorna behöver bli föremål för närmare analys, bl.a. i vilken utsträckning det behövs kompletterande bestämmelser till rättsmedel för enskilda som regleras i EU:s cybersäkerhetsakt och vad avser utövandet av den nationella cybersäkerhetscertifieringsmyndighetens tillsynsbefogen- heter.
Utredningen behandlar dessa frågor dels i ett avsnitt som rör frågan om klagomål, dels i ett avsnitt som behandlar frågan om över- klagande av beslut.
11.4.2Klagomål
Bedömning: Det behövs ingen särskild författningsreglering av certifieringsorganens handläggning av klagomål.
Enskildas rätt att enligt artikel 63.1 i EU:s cybersäkerhetsakt lämna in klagomål till utfärdaren av ett europeiskt cybersäker- hetscertifikat eller den berörda nationella myndigheten för cyber- säkerhetscertifiering kräver inga lagstiftningsåtgärder.
Det behövs inga särskilda författningsbestämmelser om hur den nationella myndigheten för cybersäkerhetscertifiering ska behandla klagomål.
Utredningen behandlar till en början frågan om det finns behov av kompletterande nationella bestämmelser till regleringen i EU:s cyber- säkerhetsakt om rätten att lämna klagomål till berörda myndigheter och organ för bedömning av överensstämmelse. Därefter tar utred- ningen ställning till om det behövs särskild författningsreglering för handläggningen av inkomna klagomål.
249
Handläggning och rättsmedel |
SOU 2020:58 |
Av artiklarna 58.7 f och 63.1 i EU:s cybersäkerhetsakt följer att klagomål som rör
Utgångspunkter
Med klagomål avses vanligen missnöje som uttrycks av enskilda och som inte avser överklagande eller någon annan formellt reglerad åt- gärd. Syftet med en klagomålsfunktion är dels att skapa tilltro, dels att säkerställa att det finns en fristående instans som den som anser sig vara utsatt för felaktig behandling kan vända sig till med klago- mål. Klagomål lämnas vanligen till en tillsynsmyndighet. Att en- skilda kan framföra klagomål till en tillsynsmyndighet är ägnat att öka förtroendet för och därmed legitimiteten i den verksamhet som tillsynen avser.
Utredningen anser att begreppet anmälan i och för sig i stället för klagomål i vissa fall tydligare skulle särskilja förfarandet från över- klagande. I den fortsatta framställningen används emellertid begrep- pet klagomål då detta används i EU:s cybersäkerhetsakt, även om den som ger in klagomål beskrivs inte bara som ”den klagande” utan även som ”anmälaren”. Någon nyansskillnad mellan begreppen klago- mål och anmälan är – såvitt kan förstås – dock inte avsedd. Med en- skild förstås för övrigt fysisk eller juridisk person.
Rätten att ge in klagomål kan även ses som ett rättsmedel. Vad den enskilde kan uppnå genom att ge in ett klagomål skiljer sig från vad denne kan uppnå genom en domstolsprövning och kan inte jäm- ställas med rätten att överklaga ett beslut fattat av berörd myndighet eller organ för bedömning av överensstämmelse. Artiklarna 58.7 f
250
SOU 2020:58 |
Handläggning och rättsmedel |
och 63 i EU:s cybersäkerhetsakt bör därför inte ges någon annan innebörd än att en fysisk eller juridisk person ska tillförsäkras en rätt att framföra klagomål till, i tillämpliga fall, den nationella myndig- heten för cybersäkerhetscertifiering eller utfärdaren av ett europeiskt cybersäkerhetscertifikat.
Uppgiften för behöriga nationella myndigheter för cybersäker- hetscertifiering att enligt artikel 58.7 f ”behandla” relevanta klagomål inbegriper, som berörts ovan, viss handläggning. Denna handlägg- ningsskyldighet beskrivs alltså något mer preciserat än klagomåls- hanteringen enligt artikel 63.2. I avsnitt 14.2.2 nedan redogör utred- ningen för relevanta nationella bestämmelser om handläggning av klagomål.
Det kan noteras att de europeiska ordningarna för cybersäker- hetscertifiering också kan antas behandla frågor om hantering av klagomål. T.ex. förskriver den föreslagna
Närmare om gällande reglering
Som framgår ovan gäller FL för myndigheternas handläggning av ärenden, inbegripet klagomålsärenden, i den mån det europeiska ram- verket inte reglerar frågan. När det gäller klagomålshantering kan konstateras att EU:s cybersäkerhetsakt innehåller handläggnings- regler som ska följas av såväl den nationella myndigheten för cyber- säkerhetscertifiering som offentliga och privata organ för bedömning av överensstämmelse. Dessutom torde ytterligare sådana förfarande- regler kunna tillkomma inom det europeiska ramverket för cyber- säkerhetscertifiering. Vidare kan noteras att handläggningsförfaran- det enligt cybersäkerhetsakten uppvisar flera likheter med FL i fråga om utredningsansvar, skyndsamhetskrav och underrättelseskyldig- het (jfr artiklarna 58.7 f och 63.2).
251
Handläggning och rättsmedel |
SOU 2020:58 |
Den nationella myndigheten för cybersäkerhetscertifiering har alltså inte någon skyldighet grundat på klagomålet att vidta tillsyns- åtgärder eller att alltid närmare undersöka sakförhållandena. Tvärt- om har tillsynsmyndigheten enligt cybersäkerhetsakten, precis som enligt svensk tillsynstradition, ett tydligt utrymme att själv avgöra vilka tillsynsärenden som ska drivas och på vilket sätt det ska ske. Det framgår inte heller uttryckligen av cybersäkerhetsakten att till- synsmyndigheten måste fatta ett formellt beslut i varje klagomåls- eller tillsynsärende.
Följaktligen finner utredningen ingen anledning att föreslå kom- pletterande bestämmelser om myndigheternas klagomålshantering.
En skillnad är emellertid att en tillsynsmyndighets beslut att inte vidta någon åtgärd med anledning av ett klagomål inte är överklagbart enligt svensk rättspraxis (RÅ 2010:29), medan cybersäkerhetsakten ger enskilda rätt till effektiva rättsmedel även avseende underlåten- het att vidta åtgärder med anledning av ett klagomål (artikel 64.1 b). Frågan om överklagande behandlas närmare i nästa avsnitt.
Även om FL inte är tillämplig på de privata kontrollorganens hand- läggning av ansökningar om utfärdande av cybersäkerhetscertifikat och andra ärenden skiljer sig dessa organs praktiska hantering av klagomål dock inte i någon större utsträckning från vad som bör gälla för en myndighet. EU:s cybersäkerhetsakt nämner emellertid inte rätten till omprövning uttryckligen.
Det ska samtidigt noteras att ett klagomål för rättelse av ett organs beslut i fråga om certifikat kan röra enskildas rättigheter och skyldigheter och därför myndighetsutövning. Lagen (1986:1142) om överklagande av beslut av enskilda organ med offentliga förvaltnings- uppgifter blir därför tillämplig (se avsnitt 11.4.3).
Vidare ger rätten till klagomål enligt artikel 63 i EU:s cyber- säkerhetsakt möjligheten att genom en anmälan uppmärksamma den nationella myndigheten för cybersäkerhetscertifiering på upplevda felaktigheter i handläggningen av en ansökan eller annat förfarande vid ett sådant organ, vilket ger en klagande möjlighet att få sitt klago- mål prövat även som ett tillsynsärende vid den myndigheten. Dessa möjligheter får, sammantaget med den ovan föreslagna omprövnings- skyldigheten,13 anses utgöra tillräcklig reglering för att en klagande ska kunna tillvarata sin rätt.
13Det kan noteras att omprövning t.ex. kan komma i fråga efter klagomål.
252
SOU 2020:58 |
Handläggning och rättsmedel |
Av artikel 64 i EU:s cybersäkerhetsakt ska enskilda ges rätt till effektiva rättsmedel inför domstol som kan inbegripa överklagande av beslut fattade av såväl en nationell myndighet som organ för be- dömning av överensstämmelse, även i fråga om underlåtenhet att vidta åtgärder med anledning av ett klagomål. I viss utsträckning kan dock även en formell rätt till omprövning anses utgöra ett effektivt rättsmedel. Sammantaget bedömer utredningen att ytterligare för- slag om reglering av klagomålshanteringen inte är motiverade.
11.4.3Överklagande
Förslag: Beslut enligt EU:s cybersäkerhetsakt och motsvarande europeiska ordningar för cybersäkerhetscertifiering, den nya lagen eller föreskrifter som meddelats i anslutning till lagen ska kunna överklagas till allmän förvaltningsdomstol. Detta gäller även för beslut som fattas av privata organ för bedömning av överens- stämmelse.
Prövningstillstånd ska krävas vid överklagande till kammar- rätten.
Rätt till överklagande enligt artikel 64.1
I artikel 64.1 i EU: cybersäkerhetsakt anges att enskilda ska ha rätt till effektiva rättsmedel avseende beslut som har fattats av en myn- dighet för cybersäkerhetscertifiering eller det organ för bedömning av överensstämmelse som avses i artikel 63.1 eller om myndigheten eller organet underlåter att vidta en åtgärd med anledning av ett klagomål enligt artikel 63.1. Som exempel på beslut anges beslut som innebär felaktigt utfärdande eller
Av artikel 64.2 framgår, i den svenska versionen av EU:s cyber- säkerhetsakt, att förfaranden enligt artikeln ska inledas vid domsto- larna i den medlemsstat där myndigheten eller organet som det rätts- medlen avser är beläget. I den engelska versionen uttrycks samma bestämmelse enligt följande: “Proceedings pursuant to this Article shall be brought before the courts of the Member State in which the
253
Handläggning och rättsmedel |
SOU 2020:58 |
authority or body against which the judicial remedy is sought is located.”
Utredningen kan notera att innebörden av vad som anges skiljer sig åt på så sätt att enligt den svenska översättningen ska ett förfa- rande inledas vid domstolarna medan tolkningen av den engelska översättningen snarare ger vid handen att ett förfarande ska väckas vid en domstol. Den svenska översättningen ger såldes intryck av att ett överklagande måste inledas medan den engelska lydelsen kan tolkas som att en talan ska ske vid en domstol, dvs. ger utrymme för att ett beslut först kan överklagas till en myndighet och att den klagande sedan får överklaga den myndighetens beslut till en dom- stol i medlemsstaten. Utredningen anser att tolkningen av den engelska lydelsen är mer förenlig med vad som rimligen bör avses med innebörden av begreppet ”rätt till effektiva rättsmedel” och lägger därför denna tolkning till grund för fortsatta överväganden om hur kravet på rätt till effektiva rättsmedel kan tillgodoses.
De beslut av en myndighet och organ för bedömning av överens- stämmelse som – enligt utredningens bedömning – främst kan komma ifråga är beslut efter ansökan om att utfärda ett europeiskt cybersäkerhetscertifikat enligt artikel
Frågan uppkommer om alla beslut som fattas av en myndighet eller av ett organ för bedömning av överensstämmelse bör kunna överklagas av den det berör och, i sådana fall, hur instansordningen bör utformas för att möta kraven i artikel 64 på effektiva rättsmedel.
I denna fråga gör utredningen följande övervägande.
I artikel 64.1 a EU:s cybersäkerhetsakt föreskrivs att fysiska och juridiska personer, utan att det påverkar administrativa rättsmedel eller andra prövningsförfaranden utanför domstol, ska ha rätt till effektiva rättsmedel avseende beslut som fattas av den myndighet eller det organ som avses i artikel 63.1, t.ex. när besluten avser ett
254
SOU 2020:58 |
Handläggning och rättsmedel |
felaktigt utfärdande,
Utredningen konstaterar att artikel 64.1 b, till skillnad från punk- ten a, inte förutsätter att klagomålet rör beslut om europeiska cyber- säkerhetscertifikat. Bestämmelsen kan sålunda tänkas omfatta klago- mål rörande t.ex.
Rätten till ett effektivt rättsmedel mot myndighetsbeslut tillgodo- ses i svensk rätt normalt genom möjligheten att överklaga beslutet till allmän förvaltningsdomstol, dvs. till en förvaltningsrätt som första instans. När det gäller beslut som fattas enligt en
Mot bakgrund av det angivna anser utredningen att myndighets- beslut som rör utfärdande av
När det gäller frågan om i vilken utsträckning som beslut av den nationella myndigheten för cybersäkerhetscertifiering bör kunna överklagas gör utredningen följande övervägande.
I enlighet med artikel 58.8 i cybersäkerhetsakten ska de nationella myndigheterna för cybersäkerhetscertifiering kunna ålägga utfärdare av
14Också beslut om t.ex. avvisning av eller avslag på klagomål bör omfattas.
15Det kan dock inte uteslutas att ett beslut skulle kunna ha rättsligt bindande följder även för andra än den som beslutet riktas mot. Dessa skulle i så fall också ha rätt att överklaga beslutet, enligt förvaltningslagens generella bestämmelse om talerätt.
255
Handläggning och rättsmedel |
SOU 2020:58 |
av detta föreslås i kapitel 8 att den nationella myndigheten för cyber- säkerhetscertifiering ska kunna besluta om förelägganden och för- bud, i förekommande fall i förening med vite, samt sanktionsavgift. En tillsynsmyndighets beslut om förelägganden, inbegripet beslut för att kunna fullgöra tillsynen, och sanktioner måste kunna överklagas. Sådana överklaganden ska ställas till allmän förvaltningsdomstol var- vid tillsynsmyndigheten är motpart i domstolen.16
Även i övrigt följer av EU:s cybersäkerhetsakt att den nationella myndigheten för cybersäkerhetscertifiering ska fatta vissa beslut som måste kunna överklagas. Det rör t.ex. beslut enligt artikel 58.7 e att återkalla bemyndiganden för organ för bedömning av överensstäm- melse och beslut enligt 58.8 e att återkalla vissa europeiska cyber- säkerhetscertifikat.17 För övrigt kan Swedacs beslut om ackreditering också överklagas hos allmän förvaltningsdomstol.
Som tidigare berörts är enligt svensk rättspraxis en tillsyns- myndighets beslut att inte vidta någon åtgärd med anledning av ett klagomål normalt inte överklagbart. Dock ska enskilda enligt EU:s cybersäkerhetsakt ha rätt till effektiva rättsmedel även avseende underlåtenhet att vidta åtgärd med anledning av ett klagomål.18 Detta talar för att akten ger den enskilde en generell rätt att klaga på berörd myndighets underlåtelse med anledning av ett klagomål, även om en sådan underlåtelse normalt inte medför några rättsligt bindande följder för den som har lämnat in klagomålet.19
Utredningen har övervägt att i den nya lagen ange beslut som inte ska vara överklagbara. En sådan kartläggning utifrån det europeiska ramverket för cybersäkerhetscertifiering, och med beaktande av att ytterligare relevanta beslutsbefogenheter kan tillkomma genom de europeiska certifieringsordningarna, låter sig emellertid svårligen göras. Vad gäller frågan om hur underlåtenhet att handlägga klago- mål enligt artikel 64 bör – enligt utredningens mening – denna över- lämnas till rättstillämpningen att avgöra.
16Med hänsyn till erfarenheterna från andra områden där tillsynsmyndigheter får besluta om sanktionsavgift kan det förväntas att överklagande bara kommer att ske i begränsad omfattning.
17Vidare kan det nationella ackrediteringsorganet besluta att återkalla ackrediteringen av ett organ för bedömning av överensstämmelse.
18Artikel 64 kan alltså möjliggöra för enskilda att klaga på mottagarens underlåtenhet att vidta åtgärder med anledning av ingivet klagomål
19Något uttryckligt krav i cybersäkerhetsakten på att rätten enligt artikel 64.1 b till effektivt rättsmedel ska avse den som ett beslut rör framgår inte.
256
SOU 2020:58 |
Handläggning och rättsmedel |
Inledningsvis kan det antas att överklagande sker i begränsad om- fattning.20 Även om det finns ett visst behov av specialisering för den som ska hantera dessa mål, framstår det som lämpligt att samma ord- ning som gäller för överklagande enligt lagen (2016:561) med kom- pletterande bestämmelser till EU:s förordning om elektronisk iden- tifiering ska gälla även enligt den nya lagen. De beslut som berörda myndigheter meddelar bör därför få överklagas till allmän förvalt- ningsdomstol.
Prövningstillstånd ska krävas vid överklagande till kammarrätten (se 40 § förvaltningslagen [2017:900]). Kammarrättens avgörande ska inte kunna överklagas.
Formerna för överklagande av den nationella cybersäkerhets- certifieringsmyndighetens tillsynsbeslut, vilken överklagandefrist som ska gälla, vem som har talerätt m.m., bör i övrigt inte avvika från förvaltningslagens bestämmelser. Det finns därför inte skäl att före- slå några särskilda bestämmelser om detta. Av tydlighetsskäl kan dock framhållas att den nationella myndigheten för cybersäkerhets- certifiering har ställning som motpart i ett mål hos domstolen som gäller överklagande av tillsynsbeslut.
Det som ovan anförts om rätten till effektiva rättsmedel gäller även för beslut av privata organ för bedömning av överensstämmelse, dock med följande undantag. I stället för förvaltningslagen ska lagen (1986:1142) om överklagande av beslut av enskilda organ med offent- liga förvaltningsuppgifter tillämpas på överklagade beslut av de privata organen för bedömning av överensstämmelse (överklagandelagen). I lagen – som gäller subsidiärt och tillämpas på överklagade beslut av bolag och andra enskilda organ, som enligt särskilda bestämmelser får överklagas till bl.a. förvaltningsmyndighet – regleras hur beslut överklagas, överklagandetiden, rättidsprövning och avvisning av för- sent inkomna överklaganden. Av 2 § samma lag följer att ett över- klagande ska ges in till det organ som ska pröva överklagandet.21
Det krävs emellertid uttryckligt författningsstöd för att ett beslut av ett privaträttsligt organ ska kunna överklagas. För att överklagan- delagen ska bli tillämplig förutsätts därför att det finns särskilda be- stämmelser som medger att det enskilda organets beslut överklagas
20Bl.a. med hänsyn till att användningen av europeisk cybersäkerhetscertifiering inom den närmsta tiden är frivillig.
21Denna myndighet ska pröva om överklagandet har kommit in i rätt tid. Överklagandetiden är tre veckor från den dag då klaganden fick del av beslutet.
257
Handläggning och rättsmedel |
SOU 2020:58 |
till regeringen, till en förvaltningsdomstol eller till en förvaltnings- myndighet.
De uppgifter som kontrollorganen utför kan, som ovan berörts, utmynna i beslut som får verkningar för en enskild och därmed på- verka dennes situation på ett inte obetydligt sätt. Sådana beslut är överklagningsbara enligt allmänna förvaltningsrättsliga principer (jfr 41 § förvaltningslagen och prop. 2016/17:180, s. 248 och 251 f.).
Mot denna bakgrund, och då samma argument som anförts ovan gör sig gällande även här, finner utredningen att det i den nya lagen bör införas en bestämmelse som anger att även beslut som fattas av privata organ för bedömning av överensstämmelse får överklagas till allmän förvaltningsdomstol.
Utredningen har övervägt behovet av en ordning med en s.k. överklagandemyndighet22 som första instans. Också i det fallet gör sig behovet av kompetens och specialisering gällande. Den nationella myndigheten för cybersäkerhetscertifiering hade därmed kunnat komma i fråga som överklagandemyndighet. Utredningen anser att de föreslagna åtgärderna innebär tämligen generösa möjligheter till både omprövning och överklagande. Vidare ska en klagande, i tillämpliga fall, kunna vända sig till den nationella cybersäkerhetscertifierings- myndigheten i fråga om tillsynsåtgärder. Sammantaget med målet att undvika onödig tidsutdräkt finner utredningen inte anledning att inrätta en instansordning med även en överklagandemyndighet.
22En myndighet – inte domstol – som ska pröva överklagandet.
258
12 Sekretess
Förslag: Det ska införas en bestämmelse om tystnadsplikt i den föreslagna lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt med innebörden att den som deltar i verksam- het som utförs av ett privat organ för bedömning av överensstäm- melse i enlighet med EU:s cybersäkerhetsakt inte obehörigen får röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes.
I det allmännas verksamhet ska i stället offentlighets- och sekretesslagen (2009:400) tillämpas.
Det ska införas en bestämmelse som upplyser om att den som bryter mot tystnadsplikten kan dömas för brott mot tystnads- plikten enligt 20 kap. 3 § brottsbalken.
Det ska även införas en bestämmelse i bilagan till offentlig- hets- och sekretessförordningen som medför att sekretess enligt
9§ offentlighets- och sekretessförordningen (2009:641) gäller upp- gift om enskilds affärs- eller driftförhållanden i verksamhet vid FMV som består i utredning och tillsyn enligt EU:s cybersäker- hetsakt och lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt.
12.1Inledning
Utredningen ska enligt utredningsdirektiven analysera om nuvarande sekretessbestämmelser för offentliga organ och bestämmelser om tystnadsplikt för privata aktörer behöver anpassas, eller ny lagstift- ning föreslås, med anledning av regleringen i EU:s cybersäkerhetsakt om tystnadsplikt och konfidentialitet hos organen för bedömning av överensstämmelse.
259
Sekretess |
SOU 2020:58 |
I detta kapitel analyseras om bestämmelserna i offentlighets- och sekretesslagen (2009:400) (OSL) innebär ett tillräckligt skydd för de uppgifter som kan komma att lämnas till myndigheter samt offent- liga eller privata organ för bedömning av överensstämmelse med an- ledning av det europeiska regelverket för cybersäkerhetscertifiering.
12.2Utgångspunkter
Det europeiska ramverket för cybersäkerhetscertifiering ger möjlig- het för tillverkare och leverantörer av
När det gäller frågan om behov av reglering av sekretess och säker- het i verksamhet som avser cybersäkerhetscertifiering kan noteras att moderna
Om sådana beroendeförhållanden identifieras, dokumenteras och offentliggörs kan det medföra ökade risker och skador för tillverkare och användare av
Både en
260
SOU 2020:58 |
Sekretess |
bedömning av överensstämmelse. Det är viktigt för att kunna säker- ställa att dessa produkter, tjänster och processer skyddas i högsta möjliga grad, bl.a. för att motverka möjligheten till och förekomsten av cyberattacker. Möjligheten till sekretess bör finnas under IKT- produktens,
12.3Allmänt om sekretess
I offentlighets- och sekretesslagen (2009:400) (OSL) regleras i stort sett all sekretess i det allmännas verksamhet. Sekretess innebär ett förbud att röja en uppgift, vare sig det sker genom utlämnande av en handling eller genom att röja uppgiften muntligen eller på annat sätt (3 kap. 1 § OSL).
Sekretessen innebär dels handlingssekretess, dels tystnadsplikt. Till den del sekretessen avser handlingssekretess innebär den en begräns- ning av enskilds rätt att få del av allmänna handlingar enligt 2 kap. tryckfrihetsförordningen. Till den del sekretessen avser tystnads- plikt innebär sekretessen en begränsning av yttrandefriheten i vissa angivna fall enligt regeringsformen och Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Förbudet mot att röja eller utnyttja en uppgift gäller för myndig- heter och personer som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet på grund av anställning, uppdrag, tjänsteplikt eller liknande grund (2 kap. 1 §).
Sekretess gäller som huvudregel inte bara i förhållande till en- skilda utan också mellan myndigheter och inom en myndighet, om det där finns olika verksamhetsgrenar som är att betrakta som själv- ständiga i förhållande till varandra. Sekretess gäller också i förhål- lande till utländska myndigheter och mellanfolkliga organisationer (8 kap.
En grundläggande princip i OSL är att sekretesskydd inte auto- matiskt följer med en uppgift som omfattas av sekretess när den
1Med myndighet avses ett organ inom den statliga och kommunala förvaltningen. Med myn- dighet jämställs i OSL också andra organ där det kan förekomma allmänna handlingar. Statliga aktiebolag, ekonomiska föreningar, stiftelser och andra privaträttsliga organ är dock bara skyl- diga att tillämpa OSL om organet i fråga finns angivet i bilagan till den lagen och i sådana fall bara i den verksamhet som anges i bilagan (2 kap. 4 § OSL).
261
Sekretess |
SOU 2020:58 |
lämnas till en annan myndighet. Sekretess gäller för uppgiften hos den mottagande myndigheten endast om det följer av en s.k. primär sekretessbestämmelse som är tillämplig hos den mottagande myn- digheten eller av en bestämmelse om överföring av sekretess (7 kap. 2 § OSL). Då den senare typen av bestämmelse bara kan tillämpas på uppgifter som en myndighet fått från en annan myndighet finns det inte någon sekretess enligt OSL som härvid kan överföras från en- skilda.2
12.4Uppgifter som lämnas till myndigheter
12.4.1Uppgifter som kan behöva sekretesskydd
De fysiska och juridiska personer som ansöker om certifiering av sina
Vidare är innehavare av europeiska cybersäkerhetscertifikat enligt artikel 56.8 i EU:s cybersäkerhetsakt skyldiga att rapportera nyupp- täckta sårbarheter eller oriktigheter vilka rör säkerheten för cyber- säkerhetscertifierad IKT till en nationell myndighet för cybersäker- hetscertifiering eller ett organ för bedömning av överensstämmelse. Myndigheten eller organet – som även kan vara ett privat organ för bedömning av överensstämmelse – ska i sin tur överlämna mottagen information till den berörda nationella myndigheten för cybersäker- hetscertifiering.
Dessutom kommer enskilda, som utfärdare av
2För övrigt kan det vara möjligt att överföra sekretess i flera led.
262
SOU 2020:58 |
Sekretess |
nödvändiga för den tillsyn som utförs av den nationella myndigheten för cybersäkerhetscertifiering enligt artikel 58.7 och 8.3
Följaktligen kommer både nationella myndigheter för cyber- säkerhetscertifiering och organ för bedömning av överensstämmelse att erhålla uppgifter om certifikatsökande, certifikatinnehavare och utfärdare av
Till följd av skyldigheten att lämna uppgifter som rör utfärdande av
I de fall
3Nationella myndigheter för cybersäkerhetscertifiering ska i sin tillsynsverksamhet kunna ta emot uppgifter direkt från enskilda. I avsnitt
4Enisa ska tillhandahålla en mall för en teknisk rapport för sammansättning.
263
Sekretess |
SOU 2020:58 |
kunna skada dess verksamhet om de röjs. Fråga uppstår därmed om intresset av att uppgifterna omfattas av sekretess.
I följande avsnitt redogör utredningen för relevanta sekretess- bestämmelser i unionsrätten och nationell rätt. Därefter tar utred- ningen ställning till om det finns behov av kompletterande nationell sekretessreglering.
12.4.2Gällande sekretessreglering
Uppgifter som offentliga organ för bedömning
av överensstämmelse får i sin certifieringsverksamhet
Krav på konfidentialitet och tystnadsplikt hos organ för bedömning av överensstämmelse i EU:s cybersäkerhetsakt
I punkten 16 i bilagan till EU:s cybersäkerhetsakt finns närmare be- stämmelser om vad som ska gälla avseende sekretess hos organ för bedömning av överensstämmelse. I denna punkt anges att ett sådant organ som önskar bli ackrediterat ska bevara konfidentialitet och iaktta tystnadsplikt avseende all den information som organen5 er- håller vid utförandet av bedömning av överensstämmelse i enlighet med det europeiska ramverket för cybersäkerhetscertifiering eller kompletterande nationella bestämmelser, utom i de fall då uppgifter måste lämnas enligt unionsrätten eller medlemsstaternas nationella rätt.6 Det ställs även krav på att organ för bedömning av överens- stämmelse ska ha dokumenterade förfaranden som möter kraven på konfidentialitet och tystnadsplikt.7 Vidare anges att immateriella rättigheter ska skyddas.
Utredningen konstaterar att även offentliga organ för bedömning av överensstämmelse ska ackrediteras enligt EU:s cybersäkerhetsakt (se artiklarna 56.5 b och
5Inbegripet organens personal, kommittéer, dotterbolag, underleverantörer och eventuella anslutna organ eller personal vid externa organ som ett organ för bedömning av överensstämmelse anlitar.
6Utredningen noterar att den engelska översättningen av sekretessbestämmelsen anger att organen ”shall maintain confidentiality” medan organen enligt den svenska översättningen ska ”underhålla” konfidentialitet.
7Förutom kraven i punkten 16 hindrar inget i bilagan utbyte av teknisk information och väg- ledning om gällande regler mellan organ för bedömning av överensstämmelse och en person som önskar certifieras. För övrigt anges i punkten 9 att om underleverantörer eller utom- stående konsulter anlitas ska det finnas ett skriftligt avtal som reglerar sekretess och intresse- konflikter.
264
SOU 2020:58 |
Sekretess |
Närmare om europeiska ordningar för cybersäkerhetscertifiering
En europeisk ordning för cybersäkerhetscertifiering kan innehålla föreskrifter om skydd för känslig information (jfr den föreslagna
Enligt den föreslagna
Sekretess i uppdragsverksamhet för enskilds räkning
Sekretess gäller för uppgift som avser provning, bestämning av egen- skaper eller myckenhet, värdering, vetenskaplig, teknisk, ekonomisk eller statistisk undersökning eller annat sådant uppdrag som myndig- heten utför för en enskilds räkning, om det måste antas att uppdra- get har lämnats under förutsättning att uppgiften inte röjs (31 kap. 12 § OSL). Sekretessen gäller dock inte om intresset av allmän känne- dom om förhållande som rör människors hälsa har sådan vikt att uppgiften bör lämnas ut.
8Denna skyldighet gäller till slutet av den angivna lagringstiden för all certifieringsinformation, såvida röjande inte är nödvändigt med hänsyn till det allmännas intresse eller följer av dom- stolsbeslut.
9Enisa kan ge vägledning om hur man kan säkerställa säkerheten för information baserad på arbetsflöden i samband med de aktiviteter som beskrivs i
265
Sekretess |
SOU 2020:58 |
Denna bestämmelse är tillämplig på information som ett offentligt certifieringsorgan får tillgång till under licensierings- och certifierings- uppdrag som utförs för enskilds räkning och där uppdraget lämnas till certifieringsorganet under förutsättning att informationen hålls hemlig.
Sekretessen gäller endast just uppgift som avser själva provningen, i praktiken uppgifter som ingår i de underlag (evidence) som ingår i evalueringen och som lämnas till certifieringsorganet, samt certifier- ingsorganets bedömning av dessa underlag. Sekretessen gäller alltså inte generellt för enskilds affärs- eller driftförhållanden10.
Begäran om att uppgift ska hållas hemlig bör göras av den som lämnar uppgiften men en bedömning ska också göras internt inom certifieringsorganet. Skriftlig dokumentation och andra handlingar som tas fram inom certifieringsorganet ska bedömas utifrån denna aspekt och vid behov hanteras som sekretesskyddade handlingar.
Övrigt
Uppgifter om enskildas ekonomiska förhållanden kan i vissa fall behöva sekretesskydd (se nedan). Begreppet ekonomiska förhållan- den innefattar bl.a. affärs- och driftförhållanden. Affärs- eller drift- förhållanden inbegriper i sin tur uppgifter om förvärv, överlåtelser, upplåtelser eller användning av egendom, tjänster eller annat. Vidare omfattas bl.a. affärshemligheter av mera allmänt slag, marknads- undersökningar, marknadsplaneringar, prissättningskalkyler och planer rörande reklamkampanjer. Även förhandlingar och andra affärshän- delser omfattas av begreppet.11 Också uppgift om namnet på den som det begärs uppgifter om kan omfattas.
Begreppet har en vidsträckt betydelse och täcker i praktiken det som ligger inom ramen för en affärsverksamhet. Det handlar i första hand om uppgifter som typiskt sett kan vara av intresse för konkur- renter och som skulle kunna skada verksamheten om de blev kända.
Sekretess enligt 31 kap. 16 § OSL gäller för uppgift om en en- skilds affärs- eller driftförhållanden när denne i annat fall än som av-
10Sekretess för sådana uppgifter finns i 30 kap. 23 och 27 §§ när det gäller skydd i verksamhet som avser tillsyn m.m. i fråga om näringslivet. 31 kap. OSL reglerar sekretess till skydd för enskild i annan verksamhet med anknytning till näringslivet, och 16 § avser affärsförbindelser med myndigheter (se nedan).
11Jfr prop. 2018/19:150 s. 70, prop. 1979/80:2 del A s. 145, HFD 2015 ref. 11 med där angivna hänvisningar.
266
SOU 2020:58 |
Sekretess |
ses i 31 kap. 1 § första stycket,
Denna bestämmelse är tillämplig för uppgifter som ett offentligt certifieringsorgan får tillgång till genom en affärsförbindelse. För certifieringsorganet gäller detta främst information som evaluerings- företag, sponsorer och utvecklare begär att certifieringsorganet ska hålla hemlig.
Certifieringsorganet ska bedöma om en inkommen eller en upp- rättad handling innehåller uppgifter som ska skyddas enligt denna bestämmelse och därmed hanteras som sekretessbelagd. På motsvar- ande sätt ska handlingar som tas fram inom certifieringsorganet be- dömas utifrån denna aspekt och hanteras som sekretessreglerade om de anses innehålla uppgifter som skyddas av sekretess.
Skydd för uppgifter som lämnas vid upptäckt av sårbarheter och tillsyn
En myndighets verksamhet för inspektion, kontroll eller annan tillsyn13
Sekretess gäller för uppgift om planläggning eller andra förberedelser för sådan inspektion, revision eller annan granskning som en myndig- het ska göra, om det kan antas att syftet med granskningsverksam- heten motverkas om uppgiften röjs (17 kap. 1 § OSL). Bestämmelsen är tillämplig på all information där validiteten av en granskning skulle påverkas om informationen var känd på förhand.
Sekretess gäller också för uppgift som ingår i eller utgör underlag för kunskapsprov eller psykologiskt prov under en myndighets över- inseende, om det kan antas att syftet med provet motverkas om upp- giften röjs (17 kap. 4 § OSL). Denna bestämmelse är tillämplig för sådan information som tas fram inom certifieringsorganet och som avser tester och prov för att bedöma kunskapsnivå och tilldela status som evaluerare eller certifierare. Bestämmelsen är tillämplig på all in- formation där validiteten av ett prov skulle påverkas om informatio-
12Uttrycket affärsförbindelser avser sådana transaktioner av ekonomisk natur som avses i
19kap. 1 § och 3 § OSL.
13Det bör noteras att tillsynsbegreppet i OSL är vitt. Det omfattar i stort sett alla de fall där en myndighet har en övervakande eller styrande funktion i förhållande till näringslivet. Den typ av uppgifter som det i första hand handlar om att sekretessbelägga med stöd av bestäm- melsen är uppgifter som typiskt sett kan vara av intresse för konkurrenter och som skulle skada verksamheten om de blev kända.
267
Sekretess |
SOU 2020:58 |
nen var känd på förhand. Inom ramen för sin rapporteringsskyldig- het enligt artikel 56.7 i EU:s cybersäkerhetsakt och den nationella cybersäkerhetscertifieringsmyndighetens tillsyn enligt artikel 58.8 kan bl.a.
Regeringen har i 9 § offentlighets- och sekretessförordningen (2009:641) och i bilagan till förordningen meddelat föreskrifter om i vilken utsträckning sekretess enligt 30 kap. 23 § första stycket OSL gäller. I bilagan listas bl.a. planering och tillsyn hos FMV vid uppbygg- nad och kontroll av företags säkerhetsskydd, utredning hos FMV för bedömning av företag inför framtida materielleveranser samt utred- ning, planering och stödverksamhet hos Försvarets materielverk med avseende på exportstödjande verksamhet (punkterna 91, 95, 132).
Försvarssekretess
Förutom ovan nämnda bestämmelser kan bl.a. bestämmelsen om för- svarssekretess i 15 kap. 2 § OSL vara tillämplig i vissa situationer. För- svarssekretess kan exempelvis aktualiseras hos organen för bedöm- ning av överensstämmelse och hos den nationella myndigheten för cybersäkerhetscertifiering. Försvarssekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Berörd myndighet kan t.ex. komma att hantera uppgifter om sårbarheter som sammantaget ger en sådan bild av samhällets infrastruktur att det kan antas utgöra en sådan fara för Sveriges säkerhet om de röjs att försvarssekretess gäller.
268
SOU 2020:58 |
Sekretess |
12.4.3Slutsatser
Utredningen konstaterar att det finns sekretessbestämmelser i OSL som kan aktualiseras i offentliga certifieringsorgans verksamhet. Ovan nämnda nationella bestämmelser är, i likhet med flertalet sek- retessbestämmelser i OSL, försedda med s.k. raka skaderekvisit. Det innebär att utgångspunkten är att uppgifterna är offentliga och att sekretess bara gäller om det kan antas att en viss skada uppkommer om uppgiften röjs. Om uppgiften typiskt sett måste betraktas som känslig omfattas den dock normalt av sekretess (och får då inte utan särskilt lagstöd lämnas ut eller röjas muntligen).
Enligt utredningen tillgodoser konstruktionen med ett rakt skade- rekvisit i de relevanta sekretessbestämmelserna allmänhetens berät- tigade intresse av insyn i kontrollorganens och den nationella cyber- säkerhetscertifieringsmyndighetens verksamhet, eftersom harmlösa uppgifter får lämnas ut. Samtidigt tillgodoser bestämmelserna till- verkares och leverantörers berättigade intresse av diskretion, efter- som uppgifter inte får röjas om det kan antas leda till skada.
Utredningen finner att punkten 16 i bilagan till EU:s cybersäker- hetsakt, i förening med 31 kap. 12 § OSL, är tillämplig på uppgifter som enskilda lämnar till offentliga certifieringsorgan i dess certifier- ingsverksamhet. Utredningen anser att bestämmelsen i 32 kap. 12 § OSL, med sitt raka skaderekvisit, ger ett väl avvägt skydd. Befintlig nationell sekretessreglering bedöms, sammantaget med kraven på kon- fidentialitet och tystnadsplikt i bilagan till EU:s cybersäkerhetsakt – som avser all information som erhållits vid utförandet av certifierings- uppgifterna, och enligt vilken absolut sekretess råder – säkerställa att uppgifter som organen får vid bedömningen av överensstämmelse enligt EU:s cybersäkerhetsakt inte obehörigen röjs. Eftersom det så- ledes får anses finnas ett fullgott sekretesskydd för uppgifter som samlas hos organen behövs i denna del ingen förändring av bestäm- melserna i OSL. Samtidigt kan noteras att bilagan till cybersäker- hetsakten lämnar utrymme för nödvändigt informationsutbyte som är författningsreglerat. Privata kontrollorgan är alltså inte förhind- rade att t.ex. lämna erforderliga uppgifter till tillsynsverksamheten vid den nationella myndigheten för cybersäkerhetscertifiering.
Som framgår ovan finns flera sekretessbestämmelser i OSL som kan aktualiseras i den nationella cybersäkerhetscertifieringsmyndig- hetens verksamhet för att skydda känsliga uppgifter från enskilda
269
Sekretess |
SOU 2020:58 |
som erhålls vid tillämpningen av EU:s cybersäkerhetsakt. För att sekretess ska gälla enligt 30 kap. 23 § OSL krävs dock att regeringen meddelar föreskrifter som närmare anger vilka uppgifter som om- fattas av sekretessen. Utredningen noterar att regleringen i bilagan till offentlighets- och sekretessförordningen är begränsad beträffande FMV. Denna bestämmelse är varken tillämplig i certifierings- eller tillsynsverksamheten vid FMV som den nationella myndigheten för cybersäkerhetscertifiering kommer att bedriva. När det gäller sekre- tesskyddet för uppgifter som den nationella myndigheten för cyber- säkerhetscertifiering kan komma att behandla i sin verksamhet inom ramen för cybersäkerhetsaktens tillämpningsområde bedömer utred- ningen att detta behöver kompletteras när det gäller uppgifter om enskilds affärs- eller driftförhållanden. För att tillförsäkra ett fullgott sekretesskydd föreslår utredningen därmed att offentlighets- och sekretessförordningen (2009:641) ska kompletteras så att sekretess gäller för uppgift om enskilds affärs- eller driftförhållanden i verk- samhet som består i utredning och tillsyn enligt EU:s cybersäkerhets- akt och lagen med kompletterande bestämmelser till EU:s cyber- säkerhetsakt.
Det är vidare oklart i vilken utsträckning Enisa kommer att be- handla sekretesskyddade uppgifter från bl.a. enskilda. Det kan dock noteras att det finns ett förbud för Enisa att för tredje part röja upp- gifter som byrån behandlar eller mottar, om det begärts att uppgif- terna ska behandlas konfidentiellt. Vidare omfattas Enisas anställda och experter av tystnadsplikt. Enisa ska i sina interna verksamhets- regler fastställa hur reglerna om konfidentialitet ska tillämpas prak- tiskt (se artikel 27).
12.5Uppgifter som lämnas till privata organ för bedömning av överensstämmelse
Vad som redogjorts för ovan under avsnitt 12.4.1 om vilka uppgifter som kan komma att samlas hos offentliga organ för bedömning av överensstämmelse gäller också för privata kontrollorgan. Uppgifter som enskilda lämnar enligt det europeiska regelverket för cyber- säkerhetscertifiering kan alltså vara av sådan karaktär som motiverar sekretesskydd.
270
SOU 2020:58 |
Sekretess |
Den som i privat verksamhet disponerar över uppgifter och infor- mation bestämmer själv om utlämnande av den till andra, med de begränsningar som följer av lagstiftning och åtaganden som vilar på civilrättslig grund.
Enligt nuvarande bestämmelser i OSL kommer privata organ för bedömning av överensstämmelse som utför uppgifter enligt EU:s cybersäkerhetsakt och motsvarande europeisk ordning för cybersäker- het – inbegripet förvaltningsuppgifter – inte att omfattas av OSL, eftersom den lagen, med vissa undantag, inte är tillämplig utanför den offentliga sektorn.
Inom flera olika verksamhetsområden gäller dock tystnadsplikt enligt lag för privata aktörer, och som ofta är reglerad som ett förbud mot att obehörigen röja vissa uppgifter. Det finns också tystnads- plikter i privat verksamhet som inte har någon motsvarighet i det allmännas verksamhet, utan skyddar information som lämnas till personer i olika slag av förtroendeställning. I dessa fall har obehörig- hetsrekvisitet sammanfattningsvis tolkats som att ett utlämnande av uppgifter får ske bl.a. om den som uppgiften rör har lämnat sitt sam- tycke, om uppgifter lämnas vidare till personer inom den berörda verksamheten som behöver dem för verksamheten eller om uppgif- terna enligt lag eller annan författning ska lämnas ut, exempelvis till en tillsynsmyndighet (se t.ex. prop. 2002/03:139 s. 479).14
Författningsreglerad tystnadsplikt, oavsett om den följer av OSL eller av bestämmelser om tystnadsplikt för den privata sektorn, ut- gör en inskränkning av yttrandefriheten enligt regeringsformen och är som regel förenad med straffansvar. Den som bryter mot tyst- nadsplikten kan därmed dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.
Fråga uppkommer om det finns behov av kompletterande natio- nell reglering om tystnadsplikt för de privata organen för bedömning av överensstämmelse.
De i bilagan till cybersäkerhetsakten uppställda kraven på kon- fidentialitet och tystnadsplikt för organ för bedömning om överens- stämmelse, som utredningen behandlat i avsnitt 12.4.2, är också direkt
14Det finns i svensk rätt flera bestämmelser om tystnadsplikt där obehörighetsrekvisitet an- vänds. Den praxis som finns rörande dessa bestämmelser bör i fråga om rekvisitets innebörd kunna tjäna som ledning även vid tolkningen och tillämpningen av den nu föreslagna bestäm- melsen.
271
Sekretess |
SOU 2020:58 |
tillämpliga för privata kontrollorgan.15 Dessa krav för ackreditering måste uppfyllas för att ett organ för bedömning av överensstämmelse ska kunna verka enligt EU:s cybersäkerhetsakt. Sekretesskraven får anses vara förhållandevis långtgående, såväl när det gäller sekretes- sens föremål och räckvidd som dess styrka.16 Det kan dock inte ute- slutas att uppgifter som kommer fram vid certifieringsverksamhet i enlighet med EU:s cybersäkerhetsakt kan komma att hanteras av en vidare krets av personer än de som omfattas av nämnda bilaga och 2 kap. 1 § OSL.
Som ovan berörts är brott mot tystnadsplikt normalt förenat med straffansvar. Straffansvaret gäller var och en som har skyldighet att hemlighålla en uppgift enligt lag eller annan författning, förutsatt att straffansvaret inte har reglerats särskilt. Straffansvaret enligt brotts- balken förutsätter dock att tystnadsplikten har sin grund i just svensk författning (se Ulväng m.fl., Brotten mot allmänheten och staten, 2 uppl. 2014, s. 276).17 EU:s cybersäkerhetsakt kan alltså inte grunda straffansvar för brott mot tystnadsplikten.
Mot bakgrund av det anförda bedömer utredningen att det finns behov av att införa en nationell bestämmelse om tystnadsplikt för de privata organen för bedömning av överensstämmelse. Tystnadsplikten gäller uppgifter som lämnas till organen. Tystnadsplikt ska även gälla för sådana uppgifter som framkommer i verksamhet som organen bedriver och som rör certifieringsverksamheten. Närmare bestämt innebär utredningens förslag att en enskild i ett privat organ för be- dömning av överensstämmelse inte obehörigen får röja eller utnyttja uppgifter om enskilds personliga och ekonomiska förhållanden. Den förslagna formuleringen omfattar t.ex. ett företags drifts- och affärs- förhållanden. Förslaget innebär därmed att fler uppgifter kommer att omfattas av straffsanktionerade regler. Därför bör det i lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt även in- föras en upplysning om att den som bryter mot tystnadsplikten kan dömas för brott.
En möjlighet för de privata organen för bedömning av överens- stämmelse att bryta sekretessen i förhållande till behöriga nationella
15Vidare kan, som tidigare berörts, europeiska ordningar för cybersäkerhetscertifiering inne- hålla bestämmelser om hur organen för bedömning av överensstämmelse ska bevara sina upp- gifter.
16Också provningslaboratorier omfattas.
17Därmed omfattas inte åsidosättanden av tystnadsplikter som avtalats mellan exempelvis arbets- givare och arbetstagare (vilka däremot kan sanktioneras på annat sätt än genom straffansvar, t.ex. genom skadeståndsskyldighet).
272
SOU 2020:58 |
Sekretess |
myndigheter, och då författning kräver att uppgifter lämnas, har intagits i bilagan till EU:s cybersäkerhetsakt. Detta undantag ligger i linje med svensk rätt på området (se ovan) och möjliggör nödvän- digt informationsutbyte (se vidare avsnitt 12.6). Att den föreslagna tystnadsplikten avgränsas med ett obehörighetsrekvisit innebär bl.a. att uppgifter kan lämnas ut med samtycke, till den nationella myn- digheten för cybersäkerhetscertifiering eller annars som en följd av en skyldighet i lag eller författning.
12.6Informationsutbyte mellan medlemsstaternas myndigheter
12.6.1Uppgifter som delas
Av artikel
–övervaka relevant utveckling på området cybersäkerhetscertifiering,
–samarbeta med varandra och med kommissionen genom att utbyta information, erfarenheter och god praxis när det gäller cyber- säkerhetscertifiering och tekniska frågor som rör cybersäkerhet hos
–samarbeta med andra nationella myndigheter för cybersäkerhets- certifiering eller andra myndigheter, bl.a. genom att utbyta infor- mation om
–lämna en årlig sammanfattande rapport om den verksamhet som bedrivits enligt punkten 7 b, c och d eller enligt punkten 8 till Enisa och den europeiska gruppen för cybersäkerhetscertifiering.
12.6.2Gällande sekretessreglering
EU:s cybersäkerhetsakt
I EU:s cybersäkerhetsakt finns inte några bestämmelser som när- mare reglerar frågan om sekretess för uppgifter och information som lämnas mellan medlemsstaternas myndigheter eller mellan en sådan
273
Sekretess |
SOU 2020:58 |
myndighet och kommissionen eller Enisa.18 I artikel 27 finns dock en sekretessbestämmelse för uppgifter som lämnas till Enisa. Av be- stämmelsen framgår att Enisa inte ska röja uppgifter som den be- handlar eller mottar för tredje part, om det i en motiverad ansökan har begärts att uppgifterna helt eller delvis ska behandlas konfiden- tiellt. Enisa ska i sina interna verksamhetsregler fastställa hur reglerna om konfidentialitet ska tillämpas praktiskt. Av artikel 28 framgår att förordning (EG) nr 1049/2001 ska tillämpas på de handlingar som finns hos Enisa.
Utrikessekretess
Enligt 15 kap. 1 § OSL gäller sekretess för uppgifter som angår Sveriges förbindelser med en annan stat eller i övrigt rör en annan stat, mellanfolklig organisation, myndighet, medborgare eller juridisk person i annan stat eller statslös, om det kan antas att det skulle störa Sveriges mellanfolkliga förbindelser eller på annat sätt skada landet om uppgifterna röjs. Skadebegreppet ska inte ges en alltför vid inne- börd, utan det måste röra sig om någon olägenhet för landet.19
När det gäller uppgifter som fås från en annan stat eller en mellan- folklig organisation kan avsändarens uppfattning i sekretessfrågan inte avgöra om uppgiften ska hållas hemlig, men avsändarens intresse av sekretess kan ha betydelse för sekretessprövningen i det enskilda fallet. Generellt är utrymmet för öppenhet enligt bestämmelsen mer begränsat när det gäller uppgifter som fås från en
Utrikessekretessen är en s.k. primär sekretessbestämmelse som en myndighet ska tillämpa på grund av att bestämmelsen omfattar vissa uppgifter som finns hos myndigheten till följd av att dess räck- vidd inte har begränsats och därför gäller inom hela den offentliga
18I den föreslagna
19Att mindre och tillfälliga störningar eller irritationer inom ett annat lands ledning inte kan uteslutas om uppgifter lämnas ut bör alltså inte alltid leda till sekretess (se prop. 1979/80:2 Del A s. 131).
274
SOU 2020:58 |
Sekretess |
sektorn. Det kan tilläggas att det är få uppgifter som är så känsliga att de behöver omfattas av sekretess oavsett hos vilken myndighet de befinner sig (se prop. 2008/2009:15 s. 285).
Sekretess i det internationella samarbetet på grund av en bindande
Enligt 15 kap. 1 a § första stycket OSL gäller sekretess för uppgift som en myndighet har fått från ett utländskt organ på grund av en bindande
Uppgiftens innehåll, art eller karaktär saknar betydelse för be- stämmelsens tillämplighet. Bestämmelsen är t.ex. tillämplig i fråga om uppgifter om enskilda, om de finns hos myndigheten på grund av ett reglerat internationellt samarbete. Ett sådant exempel är en uppgift som kommit in från en utländsk myndighet och som härrör från en utredning eller ett annat ärende där. Detsamma gäller om uppgiften på annat sätt samlats in av den svenska myndigheten i syfte att vidarebefordras till en annan stat eller en mellanfolklig organisa- tion, i enlighet med t.ex. en biståndsskyldighet.
En förutsättning för att sekretess ska gälla är att ett röjande av uppgiften kan antas försämra Sveriges möjlighet att delta i det inter- nationella samarbete som avses i rättsakten.20 Uttrycket ”möjlighet att delta i” syftar främst på möjligheten att få del av information i enlighet med
20Myndigheten är i det enskilda fallet skyldig att göra en självständig bedömning av vilka kon- sekvenser ett röjande kan antas få för det fortsatta samarbetet.
21Om det inte gör det, så kommer en tillämpning av sekretessbestämmelserna normalt inte att aktualiseras, även om det inte utesluts av bestämmelsernas ordalydelse. I sådana fall torde det främst vara uppgiftens art och anknytning till det internationella samarbetet som medför att skaderekvisitet är uppfyllt vilket enligt förarbetena innebär att det ligger närmare till hands att tillämpa bestämmelsen om utrikessekretess i 15 kap. 1 § OSL (se ovan).
275
Sekretess |
SOU 2020:58 |
EU:s cybersäkerhetsakt är en sådan bindande
Utredningen noterar att det i EU:s cybersäkerhetsakt inte finns någon bestämmelse som anger – förutom vad som gäller enligt punk- ten 16 i bilagan – att medlemsstaterna ska säkerställa skyddet av kon- fidentiella uppgifter som erhålls vid tillämpningen av cybersäkerhets- akten.
Av vad som anges i artikel 58 kan förutses att det kommer att före- komma informationsutbyte mellan såväl medlemsstaternas myndig- heter som mellan dessa och kommissionen och Enisa.
Fråga uppkommer då om det är möjligt att i avsaknad av en ut- trycklig sekretessbestämmelse att tillämpa 15 kap. 1 a § OSL. Efter- som det finns en sekretessbestämmelse för uppgifter hos Enisa finns
–enligt utredningens bedömning – förutsättningar att tillämpa 15 kap.
1 a § på uppgifter som inhämtas och lämnas till Enisa. Vad gäller uppgifter som inhämtas med stöd av cybersäkerhetsakten och en europeisk ordning för cybersäkerhetscertifiering och som lämnas eller inhämtas från en myndighet i en medlemsstat eller kommissio- nen bör – enligt utredningens mening – även sådana uppgifter omfat- tas av samma paragraf om det i en europeisk ordning finns en reglering av sekretessen. Även i avsaknad av en sådan reglering torde paragra- fen kunna tillämpas enligt sin ordalydelse, i annat fall bör 15 kap. 1 § kunna tillämpas på uppgifterna (se ovan).
En bedömning av om sekretesskydd föreligger ska, som framgår ovan, göras i varje enskilt fall. Enligt utredningen utgör nu nämnda sekretessbestämmelser i EU:s cybersäkerhetsakt en sådan sekretess- reglering som kan medföra att skaderekvisitet enligt 15 kap. 1 a § OSL uppfylls om uppgifter som mottagits eller inhämtats lämnas ut.
Sekretessen enligt 15 kap. 1 a § OSL gäller alltså för den myndighet som fått uppgift från ett utländskt organ, dvs. den nationella myn- digheten för cybersäkerhetscertifiering. Om en myndighet mottagit
22EU:s cybersäkerhetsakt väcker frågan om aktuella samarbeten kommer att förutsätta sekre- tesskydd hos andra myndigheter.
23Jfr även kravet i artikel 59.2 på beaktande av konfidentialitet vid nationella cybersäkerhets- certifieringsmyndigheters inbördes granskning.
276
SOU 2020:58 |
Sekretess |
uppgiften från annat håll gäller emellertid inte bestämmelsen hos den mottagande myndigheten. Där kan t.ex. utrikessekretessen i 15 kap.
1§ OSL aktualiseras i stället.24 Utrikes- och försvarssekretess (se av- snitt 12.4.2 och 12.7.4) gäller hos alla myndigheter.
De sekretessbrytande bestämmelserna i 10 kap.
Sekretess för uppgift om en enskilds ekonomiska eller personliga förhållanden på grund av avtal med mellanfolklig organisation
Som berörts ovan kommer uppgifter som nationella myndigheter för cybersäkerhetscertifiering erhåller om certifikatsökande och IKT- tillverkare och
Enligt 30 kap. 24 § OSL gäller, i den mån riksdagen godkänt avtal om det med främmande stat eller mellanfolklig organisation, sek- retess hos statlig myndighet i verksamhet som består i utredning, planering, prisreglering, tillståndsgivning, tillsyn eller stödverksam- het med avseende på produktion, handel, transportverksamhet eller näringslivet i övrigt, för sådan uppgift om enskilds ekonomiska eller personliga förhållanden som myndigheten förfogar över på grund av avtalet.
Eftersom bestämmelsen saknar skaderekvisit är det fråga om s.k. absolut sekretess. Det innebär att det inte behöver göras någon skade- bedömning.
Ibestämmelsen anges vidare att de sekretessbrytande bestämmel- serna i 10 kap.
Bestämmelsen omfattar både uppgifter som myndigheten har fått från utlandet och uppgifter som myndigheten har inhämtat i Sverige
24Det kan påpekas att berörd myndighet, vid behov av konsultation med andra myndigheter, bör beakta vilket sekretesskydd som kan aktualiseras för uppgifterna hos den mottagande myndigheten.
25Jfr artiklarna 56.7, 56.8 och
277
Sekretess |
SOU 2020:58 |
med stöd av avtalet. I begreppet avtal anses ingå bl.a. rättsakter som gäller till följd av Sveriges medlemskap i EU, dvs. förordningar och direktiv m.m. som utfärdats av EU:s institutioner.
För att bestämmelsen ska bli tillämplig krävs att den aktuella rättsakten innehåller en klausul om att uppgifterna inte får lämnas vidare i det aktuella fallet. Regleringen måste således vara tillräckligt specifik för att anses som en sådan sekretessklausul. De sekretess- bestämmelser i EU:s cybersäkerhetsakt som angetts ovan gör sig gällande även här.
Frågan är om den svenska verksamheten i dessa fall utgör sådan utredning eller annan verksamhet som faller inom tillämpnings- området för 30 kap. 24 § OSL. I förarbetena till regleringen uttalas att information om företagskriser, planerade företagsöverlåtelser och liknande förhållanden kan sägas utgöra planering eller utredning med avseende på näringslivet och alltså täcks av begreppen i paragrafen.
Det kan vidare konstateras att de nationella myndigheterna för cybersäkerhetscertifiering kommer att behöva utföra utredning i form av att samla in och ställa samman information för att kunna uppfylla sin rapporteringsskyldighet till Enisa (artikel 58.7 g). EU:s cyber- säkerhetsakt binder medlemsstaternas nationella myndigheter för cybersäkerhetscertifiering till ett samarbete och informationsutbyte kring cybersäkerhetscertifieringen av
26Jfr även artikel 59.2.
278
SOU 2020:58 |
Sekretess |
12.6.3Slutsatser
Mot bakgrund av vad som anförts ovan gör utredningen bedömningen att de uppgifter som berörda myndigheter kan komma att erhålla vid tillämpningen av artikel
I sammanhanget förtjänar även att nämnas att en uppgift för vilken sekretess gäller får röjas för en utländsk myndighet eller en mellan- folklig organisation, om utlämnande sker i enlighet med särskild före- skrift i lag eller förordning (8 kap. 3 § OSL). Då
12.7Informationsutbyte mellan svenska myndigheter
12.7.1Inledning
I många fall måste myndigheter kunna utbyta information för att kunna utföra sina uppgifter. I Sverige kommer bl.a. den nationella myndigheten för cybersäkerhetscertifiering, offentliga organ för bedömning av överensstämmelse och det nationella ackrediterings- organet att dela uppgifter med varandra med anledning av EU:s cyber- säkerhetsakt. Fråga kan vara om sekretessbelagda uppgifter som myndigheterna behöver i sin
27Jfr även artikel 56.8 sista meningen.
28OSL:s uppbyggnad innebär att en myndighet kan få beakta flera olika sekretessbestämmelser i ett och samma ärende. Av förarbetena till lagen framgår att vid konkurrens mellan flera olika tillämpliga sekretessbestämmelser är det den bestämmelse som ger det starkaste skyddet för uppgiften som får fälla utslaget (se prop. 2008/09:150, s. 286, jfr prop. 1979/80:2 Del A s. 70).
279
Sekretess |
SOU 2020:58 |
går i SAMFI, men även med andra berörda myndigheter. T.ex. kan tänkas att information lämnas till FOI som underlag för testning och liknande.
För att tillgodose myndigheters behov av information och infor- mationsutbyte i sin verksamhet finns flera undantag från huvud- regeln om sekretess mellan myndigheter. Sådana sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess finns huvudsakligen i 10 kap. OSL. Sekretessbrytande bestämmelser finns även i andra författningar som OSL hänvisar till, eller som en upp- giftsskyldighet varvid 10 kap. 28 § OSL blir tillämplig. Det finns också bestämmelser om överföring av sekretess till myndigheter.29
12.7.2Sekretessgräns inom den nationella myndigheten för cybersäkerhetscertifiering
Vad som föreskrivs om sekretess mot andra myndigheter och om uppgiftslämnande och överföring av sekretess gäller, som nämns i avsnitt 12.3.1, också mellan olika verksamhetsgrenar inom en myn- dighet när de är att betrakta som självständiga i förhållande till var- andra (8 kap. 2 § OSL).
Utredningen kan konstatera att tillsyns- och certifieringsverk- samheterna vid den nationella myndigheten för cybersäkerhetscerti- fiering kommer att tillämpa delvis olika sekretessbestämmelser. T.ex. är 31 kap. 12 § bara tillämplig på certifieringsverksamheten, medan sekretessen enligt 30 kap. 24 § OSL är tillämplig på tillsynsverksam- heten (avsnitt 12.6.2).30 Uppgifter som enskilda lämnar till certifier- ingsorganet vid den nationella myndigheten i certifieringsärenden kommer emellertid inte att samlas in och bearbetas av organet inom ramen för myndighetens tillsynsverksamhet. Dessa uppgifter kom- mer därför inte att omfattas av tillsynssekretess. Vidare ska enligt EU:s cybersäkerhetsakt det nationella certifieringsorganet organise- ras på ett sådant sätt att det förhåller sig självständigt i förhållande till den nationella myndighetens tillsynsverksamhet. Detta medför att det uppstår en sekretessgräns mellan de olika verksamhetsgrenarna inom den nationella myndigheten för cybersäkerhetscertifiering. Där-
29Det finns emellertid ingen sekretess enligt OSL som kan överföras från enskilda, utländska myndigheter eller mellanfolkliga organisationer. Den myndighet som mottar uppgifter direkt från sådana aktörer kan alltså inte tillämpa en sekundär sekretessbestämmelse.
30Däremot kan t.ex. sekretessen enligt 17 kap. 1 § OSL för myndigheters förberedelser för granskning gälla för både FMV och CSEC.
280
SOU 2020:58 |
Sekretess |
med ska bestämmelserna i OSL om uppgiftsutlämnande och över- föring av sekretess tillämpas på samma sätt som mellan myndigheter.
Utredningen har tidigare i avsnitt 8.3.2 framhållit vikten av att den nationella myndigheten för cybersäkerhetscertifiering organi- serar sin verksamhet på ett sätt som säkerställer oberoendet för det nationella certifieringsorganet och därigenom även säkerställer att det finns en tydlig sekretessgräns mellan de olika verksamhetsgrenarna.
I avsnitt 12.7.5 behandlas det nationella certifieringsorganets möj- ligheter att i vissa fall kunna lämna information till den nationella cybersäkerhetscertifieringsmyndigheten.
12.7.3Sekretessbrytande bestämmelser
Nedan följer en redogörelse för de sekretessbrytande bestämmelser i OSL som är av intresse när det gäller förutsättningar att lämna ut uppgifter om rapporterade cybersäkerhetssårbarheter och om affärs- och driftförhållanden. Även överföring av sekretess berörs.
Nödvändigt utlämnande
Sekretess enligt 10 kap. 2 § OSL hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verk- samhet (ett visst åliggande). Bestämmelsen kan vara tillämplig i fall där någon av de övriga sekretessbrytande reglerna inte gäller, men ska tillämpas restriktivt. Bara bedömningen att effektiviteten i myn- dighetens handlande sätts ned genom en föreskriven sekretess får inte leda till att sekretessen åsidosätts.
Tillsyn eller revision
Enligt 10 kap. 17 § OSL hindrar inte sekretess att en uppgift lämnas till en myndighet, om uppgiften behövs där för tillsyn över eller revi- sion hos den myndighet där uppgiften förekommer. Får en myndig- het i verksamhet som avser tillsyn eller revision en sekretessreglerad uppgift överförs sekretessen till den mottagande myndigheten om uppgiften inte ingår i ett beslut hos den mottagande myndigheten
281
Sekretess |
SOU 2020:58 |
(11 kap. 1 § OSL). Det är inte bara uppgifter hos den kontrollerade myndigheten som skyddas. Om tillsyns- eller kontrollmyndigheten inhämtar sekretessbelagda uppgifter från någon annan myndighet än den som är föremål för tillsyn eller revision blir också dessa uppgifter sekretesskyddade.
Det kan även förekomma informella kontakter mellan myndig- heter i samband med en tillsyns- eller revisionsverksamhet. Ett van- ligt förekommande fall torde vara att en myndighet tar kontakt med sin tillsynsmyndighet. Även sådana kontakter faller in under begrep- pet tillsyn eller revision. En förutsättning är dock att kontakten tas just därför att den ena myndigheten utövar tillsyn över eller revision hos den andra (prop. 1979/80:2 Del A s. 317).
T.ex. offentliga organ för bedömning av överensstämmelse ska lämna de nödvändiga uppgifter som den nationella myndigheten för cybersäkerhetscertifiering begär för fullgörandet av sin tillsyn. Efter- som uppgiftsskyldigheten följer av författning likställd med lag är det möjligt för myndigheter att i detta fall lämna ut sekretesskyddade uppgifter med stöd av 10 kap. 28 § första stycket OSL (se nedan).
Det är möjligt att lämna uppgifter även om det inte begärs av den granskande myndigheten. Så kan exempelvis ske i samband med att information om nyupptäckta cybersäkerhetssårbarheter lämnas.
Generalklausulen
Enligt den s.k. generalklausulen (10 kap. 27 § OSL) får en sekretess- belagd uppgift lämnas till en annan myndighet om det är uppenbart att intresset av att lämna uppgiften har företräde framför det intresse som sekretessen har att skydda. Generalklausulen tillkom mot bak- grund av att sekretess inte bör hindra myndigheter från att utväxla uppgifter i situationer där intresset av att uppgifterna lämnas ut bör ha företräde framför intresset av att uppgifterna inte lämnas ut. Generalklausulen kan inte tillämpas om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av GDPR. Bestämmelsen är subsidiär i förhållande till andra sekretess- brytande bestämmelser och ska alltså inte tillämpas om någon annan sekretessbrytande bestämmelse kan tillämpas.
Vid prövningen av en utlämnandefråga enligt generalklausulen ska en avvägning göras mellan den mottagande myndighetens behov
282
SOU 2020:58 |
Sekretess |
av uppgifterna och det intresse som sekretesskyddet typiskt sett till- godoser. Ytterligare omständigheter som är av betydelse är uppgif- ternas art och i vilket syfte de ska användas.
Sekretess vid uppgiftsskyldighet
Sekretess hindrar inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Sekretessbrytande bestämmelser finns också i anslutning till berörda sekretessbestäm- melser (10 kap. 28 § OSL).31
Som tidigare nämnts medför EU:s cybersäkerhetsakt skyldighet för bl.a. offentliga organ för bedömning av överensstämmelse att lämna uppgifter till den nationella myndigheten för cybersäkerhets- certifiering.
12.7.4Reglerna om partsinsyn och kommunikation
I förvaltningslagen (2017:900) (FL) finns ett antal handläggnings- regler som är av betydelse för bl.a. utredningens förslag om före- lägganden. En sådan regel är rätten till partsinsyn som kommer till uttryck i 10 §. Bestämmelsen innebär att den som är part i ett ärende har rätt att ta del av allt material som har tillförts ärendet med de be- gränsningar som följer av 10 kap. 3 § OSL. Bestämmelserna i 10 kap. 3 § första stycket reglerar vad som ska gälla vid konflikt mellan partsinsyn och sekretess (prop. 2016/17:180 s. 54). Enligt bestäm- melserna hindrar inte sekretess att en enskild eller en myndighet som är part i ett mål eller ärende hos domstol eller annan myndighet, och som på grund av sin partsställning har rätt till insyn i handläggningen, tar del av en handling eller annat material i målet eller ärendet. En sådan handling eller ett sådant material får dock inte lämnas ut till parten i den utsträckning det av hänsyn till allmänt eller enskilt in- tresse är av synnerlig vikt att en sekretessbelagd uppgift i materialet inte röjs. I sådana fall ska myndigheten på annat sätt lämna parten upplysning om vad materialet innehåller i den utsträckning det be- hövs för att parten ska kunna ta till vara sin rätt och det kan ske utan allvarlig skada för det intresse som sekretessen ska skydda.
31Med föreskrift i lag likställs
283
Sekretess |
SOU 2020:58 |
Det är enligt utredningens bedömning rimligt att anta att ärenden om föreläggande kan komma att innehålla sekretessbelagda uppgif- ter. Man kan dock tänka sig att många ärenden kommer att inrymma uppgifter av mer teknisk karaktär. Även om en inte obetydlig del av uppgifterna i ärendena kan antas vara mindre känsliga kan det i vissa ärenden finnas uppgifter som är så känsliga att de inte under några förhållanden bör komma parten till del. Sådana uppgifter kan omfat- tas av t.ex. försvarssekretess enligt 15 kap. 2 § OSL om de rör natio- nell säkerhet. Det kan vara fråga om uppgifter vars röjande medför att kritiska samhällsfunktioner äventyras och att verksamheter av betydelse för Sveriges säkerhet hotas.
Bestämmelsen i 10 kap. 3 § första stycket OSL om kravet på syn- nerlig vikt balanserar partsinsynen och skyddsintresset i den typ av ärenden som kan bli aktuella enligt EU:s cybersäkerhetsakt och an- slutna författningar.
Sammantaget anser utredningen att det inte framkommit tillräck- liga skäl för att med stöd av 10 kap. 3 § OSL tredje stycket göra undantag från bestämmelsens första stycke.
Partsinsynen i ärenden om föreläggande bör därför gälla så som den kommer till uttryck i 10 § FL. På motsvarande sätt gäller under- rättelseskyldigheten i 25 § FL, om krav på handläggande myndighet att underrätta part och ge denne tillfälle att yttra sig över aktuellt material innan myndighetens beslutsfattande, med de begränsningar som följer av 10 kap. 3 § OSL. Förhållandet till sekretess motiverar av samma skäl som anförts ovan inte undantag från den förvaltnings- rättsliga bestämmelsen om kommunikation.
12.7.5Slutsatser
Utredningen konstaterar att det finns flera sekretessbrytande be- stämmelser som kan tillämpas för att uppgifter som omfattas av sekretess ska kunna delas mellan myndigheter i samband med till- syn32 och rapportering av sårbarheter. Detta gäller alltså även inom den nationella myndigheten för cybersäkerhetscertifiering, mellan dess certifieringsverksamhet och tillsynsverksamhet. Undantagsreglerna kan tillämpas även på det nationella ackrediteringsorganets tillsyns-
32Motsvarande gäller i förhållande till kontrollverksamheten vid det nationella certifierings- organet. Uppgifter vid certifieringsorgan rör emellertid även andra sekretessbestämmelser än de här nämnda (se avsnitt
284
SOU 2020:58 |
Sekretess |
verksamhet över offentliga organ för bedömning av överensstäm- melse respektive när myndigheten får uppgifter i samband med an- sökan om ackreditering.
Det bör noteras att de sekretessbrytande bestämmelserna i 10 kap.
Utredningen kan notera att det finns behov av informationsutbyte såväl mellan nationella myndigheter som mellan dessa myndigheter och deras självständiga verksamheter. Offentliga organ för bedöm- ning av överensstämmelse, vilka fått uppgifter från certifikatinne- havare om nyupptäckta sårbarheter, ska enligt EU:s cybersäkerhets- akt vidarebefordra potentiellt känslig information till den nationella myndigheten för cybersäkerhetscertifiering. Vidare behöver sådana organ lämna information till den nationella myndigheten för cyber- säkerhetscertifiering och det nationella ackrediteringsorganet i sam- band med ansökan om certifiering respektive ackreditering. Av EU:s cybersäkerhetsakt följer att det hos certifieringsorganen råder sekre- tess för erhållna uppgifter, dvs. krav på konfidentialitet och tystnads- plikt (jfr avsnitt 12.4.2). Cybersäkerhetsakten medger dock undantag från dessa krav i de fall då uppgifter måste lämnas enligt unionsrätten eller medlemsstaternas nationella rätt. Vidare kan noteras att 10 kap. 17 § OSL medger att t.ex. det nationella certifieringsorganet lämnar uppgift till den nationella myndigheten för cybersäkerhetscertifiering om uppgiften behövs där för tillsyn över organet. Det finns således redan tillräckligt författningsstöd för att sekretess inte ska hindra offentliga certifieringsorgan att vid behov lämna uppgifter till be- rörda nationella myndigheter.
285
Sekretess |
SOU 2020:58 |
12.8Behandling av personuppgifter
Bedömning: I EU:s dataskyddsförordning finns rättslig grund för den nationella myndighetens för cybersäkerhetscertifiering och offentliga kontrollorgans personuppgiftsbehandling inom ramen för deras granskande verksamhet. Utredningen förutsätter att myndigheterna ser över sina respektive regleringar avseende be- handling av personuppgifter för att säkerställa att de täcker in så- dan personuppgiftsbehandling som kan komma att aktualiseras med anledning av EU:s cybersäkerhetsakt och den föreslagna lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt.
12.8.1EU:s dataskyddsförordning
För att myndigheter ska kunna utbyta information med varandra krävs alltså både att informationen inte är sekretessbelagd eller att sekretessen kan brytas, och att bestämmelser om behandling av personuppgifter hos myndigheterna ger stöd för att uppgifterna får behandlas. Dataskyddsregleringen innebär vissa begränsningar av informationsutbyte i de fall personuppgifter berörs. Enligt skäl (74) till EU:s cybersäkerhetsakt ska akten inte påverka tillämpningen av förordning (EU) 2016/679 (EU:s dataskyddsförordning). EU:s data- skyddsförordning utgör grunden för generell personuppgiftsbehand- ling inom EU. I svensk rätt kompletteras förordningen av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning samt i sektorspecifika registerförfattningar som i stor ut- sträckning reglerar svenska myndigheters personuppgiftsbehandling
EU:s dataskyddsförordning gäller i princip för all automatiserad behandling, samt i vissa fall manuell behandling, av personuppgifter. Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person. Typiska personuppgifter är personnum- mer, namn och adress. Ett bolagsnummer är ofta inte en personuppgift men kan vara det om det handlar om ett enmansföretag. Person - uppgiftsbehandling innefattar alla former av åtgärder med person- uppgifter, exempelvis insamling, användning, utlämnande, spridning eller förstöring. Förordningen hindrar dock inte myndigheter att lämna ut allmänna handlingar enligt offentlighetsprincipen. En myndighet
286
SOU 2020:58 |
Sekretess |
är inte skyldig att lämna ut allmänna handlingar på elektronisk väg men om det sker gäller dataskyddsförordningen för sådant utlämnande.
Den som behandlar personuppgifter är antingen personuppgifts- ansvarig eller personuppgiftsbiträde. Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. När upp- gifter behandlas av ett personuppgiftsbiträde ska hanteringen regle- ras genom avtal (artikel 28.3 i EU:s dataskyddsförordning).
För att en myndighets behandling av personuppgifter ska vara laglig måste det finnas en rättslig grund för behandlingen. Person- uppgifter får endast behandlas om minst ett av det villkor som anges i artikel 6.1
12.8.2Personuppgifter vid europeisk cybersäkerhetscertifiering
Den nationella myndigheten för cybersäkerhetscertifiering, organ för bedömning av överensstämmelse och det nationella ackrediter- ingsorganet kan komma att behandla personuppgifter, t.ex. organi- sationsnummer för enskild näringsverksamhet eller namn på fysiska företrädare, inom ramen för sin
33Informationsutbyte mellan nationella ackrediteringsorgan behandlas primärt i förordning (EG) 765/2008. Inom ramen för den förordningen är EU:s dataskyddsförordning tillämplig i fråga om behandling av personuppgifter (jfr skäl 31).
34Observera att detta inte gäller för de privata organen för bedömning av överensstämmelse.
287
Sekretess |
SOU 2020:58 |
drag att utföra uppgifter som är av allmänt intresse. Detsamma gäller för offentliga organ för bedömning av överensstämmelse. Det inne- bär att den rättsliga grunden i artikel 6.1 e i EU:s dataskyddsförord- ning för behandling av personuppgifter kommer att vara tillämplig.
Om det ingår behandling av personuppgifter i hanteringen är be- stämmelserna om personuppgiftsbiträden tillämpliga och person- uppgiftsbiträdesavtal ska upprättas.
Myndigheternas hantering av personuppgifter sker med stöd av EU:s dataskyddsförordning. Utredningen bedömer att det finns stöd för den behandling av personuppgifter som utredningens förslag kan medföra i det generella dataskyddsregelverket. Utredningens förslag med mer långtgående befogenheter kan dock leda till att person- uppgifter kommer att hanteras i större utsträckning. Utredningen förutsätter därför att berörda myndigheter ser över sin hantering av personuppgifter för att säkerställa att den täcker in den personuppgifts- behandling som kan aktualiseras med anledning av EU:s cybersäker- hetsakt och den föreslagna lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt.
288
13 Övriga frågor
13.1Inledning
I detta kapitel behandlas behovet av ökad samverkan mellan berörda aktörer, Europeiska gruppen för cybersäkerhetscertifiering, natio- nella ordningar för cybersäkerhetscertifiering, inbördes granskning och marknadsfrågor.
13.2Behovet av samverkan
Det europeiska ramverk för cybersäkerhetscertifiering som nu in- förs ställer krav på nära samarbete och samverkan mellan såväl be- rörda nationella myndigheter som mellan nationella myndigheter och berörda organ inom Europeiska unionen, främst kommissionen och Enisa. Den nationella myndigheten för cybersäkerhetscertifier- ing bör även t.ex. delta aktivt i den europeiska gruppen för cyber- säkerhetscertifiering i syfte att uppnå en effektiv tillämpning av för- ordning (artikel 58.6).
Myndigheten ska vidare samarbeta med andra nationella myndig- heter för cybersäkerhetscertifiering samt med andra berörda myn- digheter och aktörer i näringslivet, bl.a. för att utbyta information om
Berörda myndigheter och aktörer samverkar redan i dag inom ramen för
289
Övriga frågor |
SOU 2020:58 |
Utredningen bedömer att det finns ett behov av ökat informa- tionsutbyte och övrig samverkan mellan berörda nationella myndig- heter och mellan dessa myndigheter och andra berörda aktörer inom främst näringslivet. Behovet av ökad samverkan uppkommer också när det gäller hur den svenska representationen i den Europeiska gruppen för cybersäkerhetscertifiering kan säkerställas för att kunna tillvarata nationella intressen i detta sammanhang.
13.2.1Europeiska gruppen för cybersäkerhetscertifiering (ECCG)
I artikel 62.1 i EU:s cybersäkerhetsakt anges att en europeisk grupp för cybersäkerhetscertifiering (nedan kallad gruppen) ska inrättas. Gruppen ska bestå av företrädare för nationella myndigheter för cybersäkerhetscertifiering eller företrädare för andra berörda natio- nella myndigheter. Intressenter och berörda tredje parter får bjudas in att delta i gruppens möten och delta i dess arbete.
Gruppen ska ha i uppgift att bl.a. ge råd till och bistå kommissio- nen i arbetet med att säkerställa ett konsekvent genomförande och tillämpning av det europeiska ramverket för cybersäkerhetscertifier- ing. Det gäller bl.a. frågor som rör unionens löpande arbetsprogram, strategisamordning, utarbetandet av de europeiska ordningarna för cybersäkerhetscertifiering och frågor om cybersäkerhetscertifiering. Gruppen ska även uppmana Enisa att utarbeta förslag till certifier- ingsordning enligt artikel 48.2, och ska också ge råd till, bistå och samarbeta med Enisa när det gäller utarbetande av förslag till certi- fieringsordning enligt artikel 49. Gruppen ska också lämna yttrande över förslag till certifieringsordning som utarbetats av Enisa enligt artikel 49 samt lämna förslag till kommissionen avseende översyn och underhåll av befintliga europeiska ordningar för cybersäkerhets- certifiering.
Gruppen ska vidare undersöka utvecklingen på området för cyber- säkerhetscertifiering och utbyta information och god praxis om ord- ningar för cybersäkerhetscertifiering. Den ska vidare underlätta an- passningen av europeiska ordningar för cybersäkerhetscertifiering med internationellt erkända standarder, bl.a. genom att se över be- fintliga europeiska ordningar för cybersäkerhetscertifiering och lämna rekommendationer till Enisa om att samarbeta med relevanta inter-
290
SOU 2020:58 |
Övriga frågor |
nationella standardiseringsorganisationer för att åtgärda brister eller luckor i de befintliga internationellt erkända standarderna.
Gruppen ska även verka för att underlätta samarbetet mellan natio- nella myndigheter för cybersäkerhetscertifiering, bl.a. i form av ut- byte av information och kapacitetsuppbyggnad, vilket bör ske genom att fastställa metoder för ett effektivt informationsutbyte i frågor som rör cybersäkerhetscertifiering.
Till gruppens uppgifter hör även att ge stöd för genomförandet av mekanismerna för inbördes bedömning i enlighet med de regler som fastställts i en europeisk ordning för cybersäkerhetscertifiering enligt artikel 54.1 u.
Kommissionen vara ordförande i gruppen med stöd av Enisa och kommissionen ska även tillhandahålla ett sekretariat för gruppen arbete.
13.2.2Behovet av nationell strategi och medverkan i Europeiska gruppen för cybersäkerhetscertifiering (ECCG)
Förslag: En strategi för att tillvarata nationella intressen när det europeiska ramverket för cybersäkerhetscertifiering utvecklas bör tas fram.
Bedömning: Det finns behov av ökad samverkan mellan berörda myndigheter, offentliga aktörer, näringslivsorganisationer och företag för att säkerställa att svenska intressen kan representeras och tillvaratas när det europeiska ramverket för cybersäkerhets- certifiering utvecklas.
I artikel 58.6 i EU:s cybersäkerhetsakt framhålls att det är lämpligt att de nationella myndigheterna för cybersäkerhetscertifiering deltar i den Europeiska gruppen för cybersäkerhetscertifiering. De natio- nella myndigheterna ska även samarbeta med andra myndigheter, bl.a. genom att utbyta information om
291
Övriga frågor |
SOU 2020:58 |
Utredningen kan konstatera att det europeiska ramverket för cybersäkerhetscertifiering som nu införs genom cybersäkerhetsakten och anknutna europeiska ordningar för cybersäkerhetscertifiering ställer ökade krav på informationsutbyte och samverkan mellan såväl berörda nationella myndigheter som mellan nationella myndigheter och unionens olika ansvariga organ, bl.a. kommissionen och Enisa. Den Europeiska gruppen för cybersäkerhetscertifiering är i detta sammanhang ett viktigt instrument för att säkerställa att det euro- peiska ramverk för cybersäkerhetscertifiering som nu införs får en ändamålsenlig och effektiv tillämpning.
Uppgiften att vara nationell representant i den Europeiska grup- pen för cybersäkerhetscertifiering bör ges till den föreslagna natio- nella myndigheten för cybersäkerhetscertifiering.1
Utredningen vill betona vikten av att det nationella informations- utbytet och samverkan utvecklas för att möta ökade krav och behov av samverkan och för att säkerställa att svenska intressen kan repre- senteras och tillvaratas ramen för det europeiska ramverket för cybersäkerhetscertifiering. Det är viktigt att det finns en adekvat nationell representation i gruppen för att tillvarata svenska nationella intressen i det fortsatta arbetet med att utforma europeiska ordningar för cybersäkerhetscertifiering. Det ställer även krav på en utbyggd och väl fungerande samverkan mellan berörda myndigheter, bl.a. FMV, MSB och Swedac men även med övriga
Utredningen bedömer samtidigt att det finns behov av en samlad nationell strategi för arbetet med att tillvarata nationella intressen när det europeiska ramverket för cybersäkerhetscertifiering utvecklas. Utredningen föreslår att regeringen överväger att initiera ett arbete med att ta fram en sådan strategi. I det arbetet bör berörda myndig- heter, andra offentliga aktörer och näringslivet ges möjlighet att delta.
1FMV representerar redan i dag nationella intressen i ECCG.
292
SOU 2020:58 |
Övriga frågor |
13.3Nationell ordning för cybersäkerhetscertifiering
Av artikel 57.1 framgår att de nationella ordningarna för cybersäker- hetscertifiering, och därtill hörande förfaranden, för
Medlemsstaterna får inte heller införa nya nationella ordningar för cybersäkerhetscertifiering av de
I syfte att undvika en fragmentering av den inre marknaden ska medlemsstaterna underrätta kommissionen och europeiska gruppen för cybersäkerhetscertifiering om alla avsikter att utarbeta nya natio- nella ordningar för cybersäkerhetscertifiering.
13.3.1Förslaget till europeisk ordning för cybersäkerhetscertifiering av
Som utredningen tidigare redogjort för har Enisa på begäran av kom- missionen i enlighet med artikel 48.22 utarbetat ett förslag till certi- fieringsordning som syftar till att fungera som en efterföljare till det befintliga
2Certifieringsordningen ingår således inte i unionens löpande arbetsprogram.
293
Övriga frågor |
SOU 2020:58 |
säkerhetskrav i enlighet med CC del 2 och strävar efter att nå assu- ransnivåerna ”betydande” eller ”hög”. Ordningen innehåller vidare övergångsregler. Certifikat som utfärdas med stöd av ordningen ska erkännas i alla
EUCC identifierar, i enlighet med artikel 54.1 o cybersäkerhets- akten, ett antal nationella certifieringsordningar som omfattar samma typ eller kategorier av IKT, säkerhetskrav, utvärderingskriterier, utvärderingsmetoder och assuransnivåer. Bland de nationella ord- ningar som identifieras finns den svenska ordningen för certifiering och evaluering av
13.3.2Nationella ordningen för certifiering av
Förslag: FMV bör ges i uppdrag att analysera behov av en fortsatt ordning för certifiering av
FMV med certifieringsorganet CSEC ska i sin verksamhet verka för att uppnå och vidmakthålla internationellt erkännande för utfärdade certifikat samt vara Sveriges signatär och representant inom den inter- nationella överenskommelsen för ömsesidigt erkännande av certifikat (CCRA) och motsvarande överenskommelse inom Europa (SOG- IS MRA). I kapitel 5 finns en närmare beskrivning av FMV/CSEC:s verksamhet och den nationella ordningen för certifiering av
Som framgår ovan identifierar EUCC i enlighet med artikel 54.1 o i cybersäkerhetsakten ett antal nationella certifieringsordningar som omfattar bl.a. samma typ eller kategorier av IKT.
Mot bakgrund av det ovan angivna uppkommer frågan vilken på- verkan införandet av EUCC, om förslaget skulle genomföras i dess nuvarande lydelse, kan få på den svenska nationella ordningen för certifiering av
Det ska i detta sammanhang noteras att organisationen och verk- samheten vid FMV/CSEC: främst är utformad för att möta krav som anges i de olika internationella överenskommelser och standarder som ligger till grund för certifieringsverksamheten. Certifierings-
294
SOU 2020:58 |
Övriga frågor |
organets organisation och verksamhet regleras i styrdokument som är utfärdade av myndigheten. Såväl organiseringen av som själva certifieringsverksamheten ska möta de krav som anges i bl.a. CCRA och
Som framgår ovan medför utfärdandet av en europeisk ordning för cybersäkerhetscertifiering av
Även när en sådan europeisk ordning införs kan det finnas IKT- produkter,
Mot bakgrund av att det i utkastet till EUCC anges att ett antal nationella certifieringsordningar, bl.a. den certifieringsordning som tillämpas av FMV/CSEC, avser samma typ eller kategorier av IKT, säkerhetskrav, utvärderingskriterier, utvärderingsmetoder och assu- ransnivåer för certifiering och evaluering av
I detta sammanhang ska noteras att utredningen har i uppdrag att även analysera behov av godkännande och/eller krav på certifiering av produkter, tjänster och processer inom nätverks- och informa- tionssystem som ska användas i säkerhetskänslig verksamhet. Dessa frågor har som tidigare angetts beröringspunkter med hur man på det nationella planet kan organisera och utforma en verksamhet för cybersäkerhetscertifiering som dels möter kraven i det europeiska ramverket för cybersäkerhetscertifiering och som dels tillgodoser behovet av en samlad nationell ordning för certifiering av
Utredningen kommer att återkomma till denna fråga i slutbetän- kandet.
295
Övriga frågor |
SOU 2020:58 |
13.4Inbördes granskning
Av artikel 59 i EU:s cybersäkerhetsakt framgår att de nationella myn- digheterna för cybersäkerhetscertifiering ska omfattas av inbördes granskning i syfte att uppnå likvärdiga standarder i hela unionen för
Den inbördes granskningen ska företas utifrån gedigna och trans- parenta kriterier och förfaranden för utvärdering, särskilt när det gäller strukturella krav samt krav gällande personal och förfaranden och med hänsyn till konfidentialitet och klagomål.
Den inbördes granskningen ska omfatta en bedömning
–av om den verksamhet som bedrivs av nationella myndigheter för cybersäkerhetscertifiering i samband med utfärdande av euro- peiska cybersäkerhetscertifikat enligt artikel 56.5 a och 56.6 är strikt åtskilda från tillsynsverksamhet enligt artikel 58 och att dessa verksamheter utförs oberoende av varandra,
–av förfarandena för övervakning och kontroll av efterlevnaden av bestämmelserna om
–av förfarandena för övervakning och verkställande av de skyldig- heter som tillverkare eller tillhandahållare av
–av förfarandena för övervakning, bemyndigande och kontroll av verksamhet som bedrivs av organen för bedömning av överens- stämmelse, och
–av om personalen vid de myndigheter eller organ som utfärdar certifikat med assuransnivån ”hög” i enlighet med artikel 56.6 har lämplig sakkunskap.
Den inbördes granskningen ska utföras av kommissionen och minst två nationella myndigheter för cybersäkerhetscertifiering från andra medlemsstater. Enisa ska ges möjlighet att delta i granskningen, som ska utföras minst vart femte år.
Kommissionen får anta genomförandeakter med en plan för den inbördes granskningen. I genomförandeakten ska anges kriterier för
296
SOU 2020:58 |
Övriga frågor |
sammansättningen av gruppen som ska utföra granskningen, den metod som ska användas, tidsplanen, frekvensen och övriga uppgif- ter som behövs för granskningen. Kommissionen ska ta hänsyn till synpunkterna från den Europeiska gruppen för cybersäkerhetscerti- fiering (se nedan) när en genomförandeakt antas. En genomförande- akt ska antas i enlighet med det granskningsförfarande som avses i artikel 66.2.
Europeiska gruppen för cybersäkerhetscertifiering ska behandla resultaten av den inbördes granskningen och göra en sammanfattning som får offentliggöras samt vid behov utfärda riktlinjer eller rekom- mendationer om åtgärder som ska vidtas av de berörda enheterna.
Den föreslagna nationella myndigheten för cybersäkerhetscerti- fiering, dvs. FMV, kan komma att omfattas av det angivna gransk- ningsförförandet, dvs. bli föremål för inbördes granskning enligt artikel 59. Eftersom granskningen regleras genom bestämmelserna om inbördes granskning i cybersäkerhetsakten krävs därför ingen ytterligare reglering på området.
När det gäller uppgiften att i egenskap av nationell myndighet för cybersäkerhetscertifiering delta i granskningen av andra medlems- staters myndigheter bör myndigheten ha i uppgift att kunna delta i en sådan granskning. Myndigheten kan behöva samverka med Swedac om granskningen berör ackrediterade organ för bedömning av över- ensstämmelse.
13.5Marknadsfrågor
I direktiven anges att utredningen ska även beakta de konsekvenser som bl.a. införandet av det europeiska ramverket för cybersäkerhets- certifiering kan få när det gäller internationell handel med tredjeland samt hur det påverkar erkännande och utfärdande av certifikat och andra åtaganden som följer av Sveriges medlemskap i bl.a. CCRA.
Utredningen kan notera att det europeiska ramverket för cyber- säkerhetscertifiering är en unionsrättslig författning som är direkt tillämplig i medlemsstaterna. Det innebär att det kommer att finnas en särskild reglering med krav på cybersäkerhet för
297
Övriga frågor |
SOU 2020:58 |
fattar komplexa frågeställningar som bl.a. rör regelgivning och mark- nadspåverkan.
Utredningen kan konstatera att det mot bakgrund av den tid som funnits tillgänglig för utredningsarbetet i denna första del inte fun- nits förutsättningar eller varit möjligt att genomföra en djupare analys av dessa frågor. Frågorna behandlas dock i viss utsträckning i Kommerskollegiums rapport The Cyber Effect – the implications of IT security regulation on international trade3 (se nedan).
Utredningen bedömer att vad som anges i rapporten i dessa frågor kan utgöra utgångspunkten för fortsatt analys i det fortsatta arbetet. Det finns därför skäl att redan i detta delbetänkande över- siktligt redogöra för några av de slutsatser som redovisas i rapporten och som kan belysa vilken påverkan som det europeiska ramverket för cybersäkerhetscertifiering kan ha på internationell handel och handel med tredje land.
13.5.1Påverkan på internationell handel
I rapporten The Cyber Effect – the implications of IT security regulation on international trade framhålls att syftet med denna är att redogöra för konceptet
I rapporten framhålls att beslutsfattare och myndigheter som ska ta ställning till
3Kommerskollegiums rapport The Cyber Effect – the implications of IT security regulation on international trade, 2018.
298
SOU 2020:58 |
Övriga frågor |
cyberrymden från t.ex. sektorer som livsmedel, hälsa och transport. Cyberrymden kan ses som ett tunt nät som går igenom alla sektorer och som gör att sektorerna kan fungera och kommunicera med varandra. Man bör i detta sammanhang uppmärksamma att levnads- sätt och sättet att handla varor baseras på globala snarare än på lokala förhållanden, vilket också måste tas i beaktande vid reglering av IKT som tillverkas, säljs och installeras runt om i världen.
I rapporten noteras att det finns flera olika möjligheter som kan att bidra till en höjd
I rapporten framhålls att myndigheter och regelgivare i enskilda länder antar egna metoder och strategier för att hantera
I rapporten noteras att myndigheterna kan anta olika strategier för att höja
299
Övriga frågor |
SOU 2020:58 |
och för sig kan medföra att tekniska utvecklingen snabbt gör reglerna föråldrade. En annan strategi som används mer utbrett är att ta fram regler för bedömning av överensstämmelse, dvs. hur IKT ska certifie- ras. Även om det finns internationella standarder och ordningar för cybercertifiering är kraven i dessa relativt generiska. Detta leder till att olika länder tar fram egna nationella krav som kompletterar inter- nationella standarder. Detta innebär att kraven för en och samma
I rapporten görs noteringen att antalet tekniska handelshinder som rör
I rapporten påpekas att även om det inte saknas internationellt samarbete om gemensamma standarder och ordningar som ska bidra till ökad samstämmighet inom
I rapporten konstateras att beslutsfattare har successivt blivit mer medvetna om den ökande fragmenteringen av regler på
300
SOU 2020:58 |
Övriga frågor |
området och att de inser att situationen kräver kraftiga och skynd- samma åtgärder, vilket medför nya politiska initiativ och förslag på lagstiftning med syfte att öka internationell harmonisering. En ökad internationell harmonisering skulle kunna leda till större öppenhet och transparens, och befrämja internationell handel. Om utform- ningen av regler för
I rapporten framhålls att inom EU utgör
I rapporten påpekas att även om cybersäkerhetsakten har som målsättning att bidra till mer harmoniserade ordningar för bedöm- ning av överensstämmelse, dvs. för cybersäkerhetscertifiering av IKT, är samtidigt många
I rapporten noteras vidare att produktcertifiering är komplext, tidskrävande och dyrt varför antalet certifieringar är relativt få i för- hållande till antalet IKT och produktutvecklingsprocesser som borde genomgå certifiering för att skapa säkerhet i samhället i stort. Som en konsekvens av detta har det skett en förändring av regelstrategier mot att i stället för att säkra själva produkten har fokus skiftat till att säkra den
301
Övriga frågor |
SOU 2020:58 |
strukturer inom en viss sektor eller mellan ett antal myndigheter. Detta tillvägagångssätt avskaffar inte behovet av produktreglering men den höjer säkerheten i stort, genom att metoden från första början tar hänsyn till risker som finns och kan kvarstå hos kommer- siella produkter trots certifiering. Fördelen med en strategi som fokuserar på
I rapporten framhålls att företag som tillfrågats har betonat att
I rapporten framhålls att angivna aspekter motiverar en noggrann analys av nya regelinitiativ avseende
I rapporten framhålls sammanfattningsvis vikten av att besluts- fattare förstår både omfattningen och effekterna av cyberhot, bl.a. de beroendeförhållanden som finns mellan samhällets infrastruktur (nationell säkerhet) och handel (handelspolitik) när man genomför åtgärder för att höja
302
SOU 2020:58 |
Övriga frågor |
–nätfiske, tailgating – obehörig passering, DoS
Utredningen bedömer att det finns skäl att återkomma till dessa frågor även i fortsatta arbete med analys av behovet av certifiering eller godkännande av informations- och kommunikationssystem i säkerhetskänslig verksamhet.
13.5.2Sveriges medlemskap i CCRA
Utredningen ska enligt direktiven i sitt arbete analysera och beakta de åtaganden som följer av Sveriges medlemskap i bl.a. CCRA. I denna fråga gör utredningen följande bedömning.
När en europeisk ordning för cybersäkerhetscertifiering införs uppkommer frågan om verkan för certifikat som utfärdats eller ut- färdas enligt en annan certifieringsordning, t.ex. CCRA, och som inte omfattas av tillämpningsområdet för det europeiska ramverket för cybersäkerhetscertifiering, dvs. EU:s cybersäkerhetsakt och en europeisk ordning för cybersäkerhetscertifiering. I det offentliggjorda utkastet till EUCC lämnas förslag på övergångsregler som ska gälla när denna ordning införs. Som ovan framgår har ett certifikat som utfärdats av en ordning som sedan kommit att omfattas av det euro- peiska ramverket för cybersäkerhetscertifiering fortsatt verkan till dess certifikatet löper ut. Ett certifikat som utfärdats, t.ex. enligt CCRA, och som inte omfattas av ramverkets tillämpningsområde bör därför äga fortsatt giltighet i enlighet med vad som anges i den ordningen. Utredningen bedömer att en analys av konsekvenserna
303
Övriga frågor |
SOU 2020:58 |
av de åtaganden som följer av Sveriges medlemskap i CCRA, när en europeisk ordning för cybersäkerhetscertifiering införs, bör bli före- mål för en djupare analys och har inte varit möjlig inom ramen för den utredningstid som stått till förfogande. Utredningen återkom- mer till denna fråga i sitt slutbetänkande.
304
14 Konsekvensbeskrivning
14.1Inledning
I utredningens uppdrag ingår att analysera konsekvenserna av lämnade förslag i enlighet med
I utredningsdirektiven anges att utredningen ska bedöma de eko- nomiska konsekvenserna av förslagen för det allmänna och för en- skilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredningen föreslå hur dessa ska finansieras. Utred- ningen ska särskilt ange konsekvenserna för företag i form av kost- nader och ökade administrativa bördor samt personella konsekvenser för berörda myndigheter. Vidare ska beaktas de konsekvenser som genomförandet av EU:s cybersäkerhetsakt kan få när det gäller inter- nationell handel med tredje land och erkännande och utfärdande av certifikat och andra åtaganden som följer av Sveriges medlemskap i bl.a. CCRA.
I detta kapitel redovisas utredningens bedömning av konsekven- serna av de förslag utredningen lämnar. Förslagen syftar framför allt till att anpassa svensk lagstiftning till bestämmelserna i EU:s cyber- säkerhetsakt och säkerställa att unionsrätten får avsedd effekt. EU:s cybersäkerhetsakt är direkt tillämplig i medlemsstaterna. Det ska därför inledningsvis konstateras att de konsekvenser som uppstår för samhället och de aktörer som berörs huvudsakligen är en direkt följd av den bakomliggande
I vissa delar går utredningens förslag längre än vad som krävs enligt cybersäkerhetsakten eller uppställer särskilda krav för tillämp-
305
Konsekvensbeskrivning |
SOU 2020:58 |
ningen av bestämmelser i akten. Utredningens bedömning av konse- kvenserna av de förslagen redovisas också nedan.
14.2Utgångspunkter
Det europeiska ramverket för cybersäkerhetscertifiering, dvs. EU:s cybersäkerhetsakt och de genomförandeakter som antas, är unions- rättsliga författningar som är direkt tillämpliga i medlemsstaterna. Vissa bestämmelser i EU:s cybersäkerhetsakt förutsätter att medlems- staterna inför kompletterande nationell reglering för genomförandet av akten.
Utredningens förslag syftar till att uppfylla kraven i EU:s cyber- säkerhetsakt och att bidra till ett ändamålsenlig och effektivt genomslag och tillämpning av det europeiska ramverket för cybersäkerhetscerti- fiering. Analysen av behovet av kompletterande nationella bestäm- melser har dock försvårats av osäkerheten om det närmare innehållet i de framtida europeiska ordningarna för cybersäkerhetscertifiering (genomförandeakter). De författningsbestämmelser som nu föreslås syftar till att komplettera ramverkets bestämmelser så att de – såvitt nu kan bedömas – kan få fullt genomslag.
14.3De som berörs av förslagen
Förslagen ska bidra till att säkerställa att målsättningen med ramverket uppnås, dvs. bidra till en ökad cybersäkerhet för
Utredningens förslag berör framför allt den statliga myndighet som utredningen föreslår ska utses till nationell myndighet för cybersäker- hetscertifiering och de ekonomiska aktörer som utfärdar
Det går dock inte att bedöma hur många fysiska eller juridiska personer som berörs av förslagen i egenskap av ekonomiska aktörer, bl.a. då omfattningen av frivillig eller krav på obligatorisk cyber- säkerhetscertifiering för närvarande inte är kända.
306
SOU 2020:58 |
Konsekvensbeskrivning |
Även andra aktörer som använder informations- och kommuni- kationsteknik kan förväntas beröras av förslagen. Med hänsyn till syftena med regelverket bedöms förslagen i förlängningen även ha en positiv påverkan för sådana myndigheter, företag och konsumen- ter som inte direkt berörs av förslagen.
14.4Konsekvenser för myndigheter
Allmänt
Utredningen bedömer att det för närvarande inte är möjligt att över- blicka vilka direkta konsekvenser som införandet av det europeiska ramverket för cybersäkerhetscertifiering kommer att medföra för den utpekade nationella myndigheten för cybersäkerhetscertifiering eller för andra aktörer som berörs av det angivna ramverket eftersom några genomförandeakter ännu inte antagits. Konsekvenserna för den nationella myndigheten för cybersäkerhetscertifiering och övriga berörda aktörer är i huvudsak en följd av införandet av EU:s cyber- säkerhetsakt och inte av utredningens förslag. Eftersom det inte går att bedöma i vilken omfattning som berörda aktörer kommer att använda sig av möjligheten till
Utredningen har vid utformningen av förslagen, bl.a. när det gäller uppgifter för och organisering av den myndigheten tagit hän- syn till de alternativ som kan förväntas vara mest ändamålsenliga och kostnadseffektiva. De förslag till framför allt samverkan och sam- ordning mellan berörda myndigheter som utredningen presenterar bedöms i kostnadsavseende vara marginella.
307
Konsekvensbeskrivning |
SOU 2020:58 |
Konsekvenser av förslaget att utse en nationell myndighet för cybersäkerhetscertifiering
I enlighet med utredningsdirektiven föreslår utredningen att den nationella myndigheten för cybersäkerhetscertifiering organiseras vid en befintlig myndighet. För den föreslagna myndigheten innebär förslaget nya uppgifter och ett utökat ansvar som följer direkt av EU:s cybersäkerhetsakt och de genomförandeakter som kan komma att antas. Myndigheten får uppgifter som rör omvärldsbevakning, samverkan, ansvar för cybersäkerhetscertifiering på högsta assurans- nivån och tillsynsansvar över det europeiska ramverket för cyber- säkerhetscertifiering. I uppdraget ingår även att representera Sverige i ECCG och därmed delta i framtagandet av nya europeiska certifier- ingsordningar (genomförandeakter).
För att myndigheten ska kunna fullgöra sina skyldigheter enligt EU:s cybersäkerhetsakt ska berörda aktörer, dvs. den som utfärdar en
Utredningen föreslår vidare att berörda myndigheter i ökad ut- sträckning ska samverka i frågor som rör det europeiska ramverket för cybersäkerhetscertifiering. I dag sker samverkan mellan berörda myndigheter huvudsakligen inom ramen för
Utredningen föreslår vidare att när den nationella myndigheten för cybersäkerhetscertifiering respektive Swedac utövar tillsyn över ackrediterade organ för bedömning av överensstämmelse ska myn- digheterna samordna kontrollen och åtgärderna om de riktar sig mot samma ekonomiska aktör. Förslaget syftar främst till att underlätta
308
SOU 2020:58 |
Konsekvensbeskrivning |
för ekonomiska aktörer och begränsa antalet myndighetskontakter och bedöms inte medföra ekonomiska konsekvenser.
Konsekvenser av den nationella cybersäkerhetscertifieringsmyndighetens befogenheter
Utredningens förslag om kompletterande bestämmelser avseende den nationella myndighetens befogenheter bedöms inte medföra några ekonomiska konsekvenser i sig. Ett tydligt regelverk när det gäller befogenhet kan förväntas leda till att myndigheten utnyttjar sina till- delade befogenheter i större utsträckning, vilket leder till en effekti- vare tillsyn, och därigenom även rättvisa konkurrensvillkor. Genom möjligheten att överklaga myndighetens beslut bedömer utredningen att ett fullgott skydd för enskildas rättigheter säkerställs.
Konsekvenser av sanktionsbestämmelser
I artikel 65 i EU:s cybersäkerhetsakt anges att medlemsstaterna ska fastställa regler om sanktioner vid överträdelse av det europeiska ram- verket för cybersäkerhetscertifiering och ska vidta alla nödvändiga åtgärder för att se till att bestämmelserna tillämpas. För att den natio- nella myndigheten för cybersäkerhetscertifiering ska kunna beivra regelöverträdelser innehåller den föreslagna lagen bestämmelser om möjlighet att påföra en ekonomisk aktör en sanktionsavgift vid över- trädelser. Förslaget innebär att en avgift ska kunna beslutas oavsett om överträdelsen har skett uppsåtligen eller av oaktsamhet, dvs. avgiftsskyldigheten baseras på strikt ansvar. Att det föreslagna sank- tionsavgiftssystemet bygger på strikt ansvar underlättar för myndig- hetens bedömning i fråga om att ta ut sanktionsavgift. Genom att myndigheterna själva får besluta om sanktionsavgift kan förslaget antas leda till ett effektivare och enklare sanktionsförfarande. För- slaget bedöms ha positiva effekter för myndighetens möjligheter till effektiv tillsyn utan att påverka kostnaderna i någon större utsträck- ning. Kostnader kan antas tillkomma för delgivning av beslut om sanktionsavgift.
309
Konsekvensbeskrivning |
SOU 2020:58 |
Konsekvenser av bestämmelser om avgifter vid certifiering och tillsyn
Enligt EU:s cybersäkerhetsakt omfattar de nationella cybersäkerhets- certifieringsmyndigheternas uppdrag såväl utfärdande av cybersäker- hetscertifikat enligt artikel 56 som tillsyn enligt artikel 58 över IKT- produkters,
FMV:s certifieringsverksamhet är i dag både anslags- och avgifts- finansierad. Motsvarande system bör införas när det gäller finansier- ingen av den certifieringsverksamhet som den nationella myndigheten för cybersäkerhetscertifiering bedriver enligt EU:s cybersäkerhetsakt.
Utredningen anser vidare att berörda aktörer bör ersätta kost- naden för tillsynsverksamheten. Detta ska ske genom att en tillsyns- avgift betalas av enskilda. Tillsynsavgiften ska tas ut av de aktörer vars verksamhet prövas eller är föremål för tillsynsåtgärd. Möjligheten för den nationella myndigheten för cybersäkerhetscertifiering att ta ut avgifter bör således omfatta alla utfärdare av
Konsekvenser för Försvarets materielverk (FMV)
Utredningen föreslår att Försvarets materielverk (FMV) utses till nationell myndighet för cybersäkerhetscertifiering enligt artikel 58.1 i EU:s cybersäkerhetsakt, vilket medför flera nya uppgifter och an- svarsområden för myndigheten. Vidare föreslås att FMV ska fullgöra uppgifterna enligt artikel 56.5 och 6, vilket innebär delvis nya upp- gifter och ansvarsområden.
Kravet i EU:s cybersäkerhetsakt att verksamheten hos de natio- nella cybersäkerhetscertifieringsmyndigheterna som beviljar cyber- säkerhetscertifikat på assuransnivån hög ska vara strikt åtskild från samma myndighets tillsynsverksamhet medför att viss del av verk- samheten hos FMV behöver omorganiseras. De nya uppgifterna kan tilldelas den existerande organisationen, men samma personer kan inte bevilja certifikat på assuransnivån hög och sköta tillsynsupp- gifter rörande anmälningar om överensstämmelse och bedömnings-
310
SOU 2020:58 |
Konsekvensbeskrivning |
organ. Uppgifterna bedöms dock inte ha några direkta konsekvenser för samarbetet eller arbetsfördelningen med andra myndigheter.
Verksamheten hos FMV respektive CSEC förutsätter planering av organisation och arbetssätt, upprättande av anvisningar för bevil- jande av certifikat på högsta assuransnivån, process för bemyndigande av organen för bedömning av överensstämmelse och tillsynsorgani- sation. Vidare krävs informationsspridning, utbildning av personal och samverkan med berörda aktörer. Vissa av uppgifter bedöms kunna lösas genom en omorganisering av resurserna samtidigt som ytterli- gare resurser måste tillföras.
När det gäller FMV/CSEC:s uppgifter och ansvarsområden för certifieringsverksamheten enligt EU:s cybersäkerhetsakt är det svårt att bedöma omfattningen av verksamheten till följd av den nya regleringen. CSEC:s beredskap att bevilja certifikat på assuransnivå hög bör dock säkerställas. CSEC:s arbete med att driva en nationell certifieringsordning för säkerhet i
Tillsynsfunktionen vid FMV ska enligt EU:s cybersäkerhetsakt ha tillräckliga resurser för att på ett effektivt sätt kunna utföra tillsyn och uppnå målen med det europeiska ramverket för cybersäkerhets- certifiering. Detta innebär att tillsynsfunktionen ska ha de perso- nella, tekniska och ekonomiska resurser som behöves för att på ett effektivt sätt kunna utföra sin uppgift. Som ovan anges bygger ram- verket för cybersäkerhetscertifiering på en europeisk ordning för cybersäkerhetscertifiering som ännu inte fastställts, vilket medför betydande svårigheter att bedöma organisering och behovet av re- surser för tillsynsfunktionen. Ramverket ger samtidigt utrymme för att reglera om cybersäkerhetscertifieringen ska vara obligatorisk eller frivillig, vilket innebär svårigheter att bedöma omfattningen av verk- samheten och resursbehovet.
Sammantaget bedöms FMV:s uppgifter som nationell myndighet för cybersäkerhetscertifiering inledningsvis behöva resursförstärk-
311
Konsekvensbeskrivning |
SOU 2020:58 |
ning, främst i form av personalförstärkning. Myndigheten uppger att tillkommande uppgifter och ansvarsområden som nationell myndig- het för cybersäkerhetscertifiering medför ett ökat personalbehov som beräknas initialt uppgå till
Frågan om ytterligare resurser bör fortlöpande övervägas när ut- vecklingen av den europeiska cybersäkerhetscertifieringen kan över- blickas.
Styrelsen för ackreditering och teknisk kontroll (Swedac)
Styrelsen för ackreditering och teknisk kontroll (Swedac) är natio- nellt ackrediteringsorgan. Ett organ som vill bli ackrediterat måste lämna in en ansökan till Swedac som prövar och bedömer om orga- net uppfyller de krav som ställs i förordning (EG) nr 765/2008, lagen (2011:791) om ackreditering och teknisk kontroll med tillhörande förordning samt föreskrifter som Swedac meddelat. Ackrediterings- verksamheten vid Swedac finansieras av kundernas avgifter, som ska täcka samtliga kostnader för ackrediteringen. Frågan om behov av ytterligare resurser för Swedac med anledning av införandet av det europeiska ramverket och åtföljande krav och behov av ackreditering är på motsvarande sätt som anges ovan svår att i dagsläget bedöma. Eftersom verksamheten när det gäller ackreditering är avgiftsfinan- sierad bör denna verksamhet inte kräva ytterligare finansiella resur- ser. Jämfört med de uppgifter myndigheten utför i dag skiljer sig an- svaret enligt EU:s cybersäkerhetsakt åt endast i mindre omfattning. Förändringarna följer direkt av förordningen och beror inte på ut- redningens förslag.
Kronofogdemyndigheten
Bestämmelserna om sanktionsavgifter kan komma att öka antalet ärenden hos Kronofogdemyndigheten något. Även förslaget om att myndigheten ska få vända sig till Kronofogdemyndigheten och be- gära handräckning på plats vid vissa inspektioner kan leda till att
312
SOU 2020:58 |
Konsekvensbeskrivning |
Kronofogdemyndighetens hjälp behövs vid ett antal tillfällen men ökningen bedöms dock inte bli särskilt stor och förväntas inte på- verka Kronofogdemyndighetens verksamhet mer än att konsekven- serna kan hanteras inom befintliga anslag för myndigheten.
Domstolar
Utredningens förslag i processuella frågor och om överklagande av beslut som meddelas av organ för bedömning av överensstämmelse och av myndigheten för cybersäkerhetscertifiering innebär en ny reglering. Det kan dock antas att överklaganden av beslut av organ för bedömning av överensstämmelse och den nationella myndig- heten för cybersäkerhetscertifiering i frågor som avser certifiering inledningsvis kommer ske i begränsad omfattning.
De befogenheter som följer av EU:s cybersäkerhetsakt innebär att tillsynsfunktionen hos den nationella myndigheten för cyber- säkerhetscertifiering får besluta om åtgärder som i vissa fall är ingri- pande för enskilda. De beslut som myndigheten fattar med stöd av den nya lagen är bl.a. beslut om förelägganden, förbud eller om åter- kallelse av ett certifikat. Utredningen bedömer att sådana beslut kan antas komma att leda till överklaganden av besluten, i vart fall innan vägledande praxis etableras på området. En viss måltillströmning till allmän förvaltningsdomstol kan därför väntas. Omfattningen av mål- tillströmningen är dock svår att uppskatta. Även mål gällande sank- tionsavgifter kan förväntas överklagas. Utredningens förslag innebär att den initiala prövningen av om sanktionsavgift ska utgå ska göras av den nationella myndigheten för cybersäkerhetscertifiering. Det är rimligt att anta att antalet överklagade beslut om sanktionsavgift kommer att medföra en viss måltillströmming till domstolarna, men även här är omfattningen svår att bedöma.
Sammantaget bedöms utredningens förslag innebära en måltill- strömning i de allmänna förvaltningsdomstolarna och därigenom något ökade kostnader. Kostnadsökningen bör finansieras genom ökade anslag i den mån den inte ryms inom de befintliga.
313
Konsekvensbeskrivning |
SOU 2020:58 |
Konsekvenser för näringslivet och företag
Allmänt
Eftersom det europeiska ramverket för cybersäkerhetscertifiering är under införande är det svårt att bedöma några omedelbara konse- kvenser för näringslivet och företagen av detta regelsystem och de nationella kompletterande regler som nu föreslås, bl.a. mot bak- grund av att det ännu inte fastställts någon europeisk ordning för cybersäkerhetscertifiering. På sikt kan dock införandet av ramverket komma att påverka såväl företag som tillverkar eller levererar an- givna produkter och tjänster som företag som använder sig av dessa.
De aktörer som ansöker om europeisk cybersäkerhetscertifiering kan komma att variera i antal beroende på utvecklingen av de euro- peiska certifieringsordningarna. Dessa kan komma att inkludera bl.a. tillverkare, importörer eller användarorganisationer för olika grupper av
Antalet företag och därmed de totala kostnaderna för företag som kommer att ha sina
Innehållet i de europeiska certifieringsordningarna, och hur väl svenska företagsprodukter m.m. motsvarar kraven i dessa ordningar, kan dock antas komma att påverka svenska företags konkurrens- kraft. De föreslagna bestämmelserna förväntas på sikt bidra till ökad cybersäkerhet och en bättre fungerande marknad, vilket i förläng- ningen är till fördel för både ekonomiska aktörer och unionsmark- nadens funktion. En effektiv tillsyn ökar även förutsättningarna för att företagare ska kunna konkurrera på lika villkor.
Förslaget om att utse en nationell myndighet för cybersäkerhets- certifiering med ansvar för uppgifterna enligt EU:s cybersäkerhets- akt i stället för att ansvaret fördelas på flera myndigheter bedöms både förenkla och begränsa de ekonomiska aktörernas kontakter med myndigheter.
Förslaget om att berörda myndigheter så långt det är möjligt ska samverka när det berör frågor om cybersäkerhetscertifiering för-
314
SOU 2020:58 |
Konsekvensbeskrivning |
väntas ha positiva effekter för de ekonomiska aktörerna. De ekono- miska aktörerna gynnas av att myndigheterna i större utsträckning kan lämna information mellan sig och samverka runt kontroller. Det kan antas vara särskilt positivt för mindre företag som inte har samma resurser att lägga på den administrativa delen av verksam- heten som större aktörer.
Konsekvenser av sanktionsbestämmelser
Utredningens förslag om sanktionsbestämmelser ger den nationella myndigheten för cybersäkerhetscertifiering möjlighet att besluta om sanktionsavgifter för överträdelse av regelsystemet. För ekonomiska aktörer som följer gällande krav leder förslaget inte till några ökade kostnader. För de aktörer som inte följer gällande regler innebär förslaget ekonomiska konsekvenser och kan medföra ökade kostna- der eftersom sanktionsavgifter ska kunna tas ut utan krav på uppsåt eller oaktsamhet. Det föreslås ingen begränsning av storleken på sanktionsavgifterna i förhållande till den ekonomiska aktörens års- omsättning vilket kan leda till att mindre aktörer riskerar relativt sett högre avgifter.
Förslaget om sanktionsavgift tydliggör för ekonomiska aktörer vilka sanktioner som kan bli aktuella vid överträdelser och under vilka förutsättningar avgift kan beslutas. Eftersom en sanktions- avgift kan uppgå till höga belopp beroende på bl.a. överträdelsens allvar kan förslaget även förväntas leda till en bättre regelefterlevnad. Detta stärker på sikt företagens konkurrenskraft och skapar bättre och mer rättvisa spelregler för företagandet.
Konsekvenser för konsumenter och andra användare
På motsvarande sätt som det föreligger svårigheter att bedöma kon- sekvenserna av införandet av europeiska ramverket för cybersäker- hetscertifiering för företagen är det förenat med betydande osäker- het att bedöma vilka konsekvenser, såväl ekonomiska som andra sådana, som det kan ha för enskilda och större konsumentgrupper. Cybersäkerhetscertifiering är förenat med kostnader varför cyber- säkerhetscertifierade konsumentprodukter och
315
Konsekvensbeskrivning |
SOU 2020:58 |
Detta ska dock vägas mot de kostnader som kan uppkomma på grund av brister i säkerheten i dessa produkter och tjänster.
14.5Konsekvenser för samhället
Syftet med det europeiska ramverket för cybersäkerhetscertifiering är att förbättra medborgarnas och företagens cybersäkerhet. EU:s cybersäkerhetsakt kan anses ha positiva konsekvenser för hela sam- hället, eftersom syftet med certifieringsverksamheten enligt cyber- säkerhetsakten är att höja cybersäkerhetsnivån inom unionen och harmonisera europeiska system för cybersäkerhetscertifiering på unionsnivån.
14.6Konsekvenser för internationell handel med tredje land
I avsnitt 13.5 redogör utredningen för analys och slutsatser som det europeiska ramverket för cybersäkerhetscertifiering kan få för inter- nationell handel med tredje land samt hur det påverkar erkännande och utfärdande av certifikat och andra åtaganden som följer av Sveriges medlemskap i bl.a. CCRA.
Utredningen lämnar en närmare analys av dessa frågor i slut- betänkandet.
14.7Övriga konsekvenser
Följande områden berörs inte av förslagen (15 § kommittéförord- ningen):
–den kommunala självstyrelsen,
–brottsligheten och det brottsförebyggande arbetet,
–sysselsättning och offentlig service i olika delar av landet,
–jämställdheten mellan kvinnor och män, eller
–möjligheterna att nå de integrationspolitiska målen.
Förslagen bedöms inte heller i övrigt medföra några konsekvenser som behöver redovisas i detta sammanhang.
316
15 Författningskommentar
15.1Förslaget till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt (cybersäkerhetsakten)
Härigenom föreskrivs följande.
Inledande bestämmelse
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten), här benämnd EU:s cybersäkerhetsakt.
Termer och uttryck i denna lag har samma betydelse som i EU:s cybersäkerhetsakt.
Övervägandena finns i avsnitt 6.3.
Av första stycket framgår att syftet med lagen är att komplettera EU:s förordning om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunika- tionsteknik (cybersäkerhetsakten).
Lagen kompletterar EU:s cybersäkerhetsakt och kan därför inte läsas fristående från den. Hänvisningen till EU:s cybersäkerhetsakt är dynamisk. Det innebär att hänvisningen avser cybersäkerhets- akten i den vid varje tidpunkt gällande lydelsen. På det sättet säker- ställs att ändringar i cybersäkerhetsakten får genomslag i lagen och att den nationella rättstillämpningen vid varje tid överensstämmer med kraven i akten.
317
Författningskommentar |
SOU 2020:58 |
Av andra stycket framgår upplysningsvis att termer och uttryck i lagen har samma betydelse som i EU:s cybersäkerhetsakt. En lista med definitioner finns i artikel 2 i cybersäkerhetsakten.
Nationell myndighet för cybersäkerhetscertifiering
2 § Den myndighet som regeringen bestämmer är
1.nationell myndighet för cybersäkerhetscertifiering enligt EU:s cyber- säkerhetsakt, och
2.utövar tillsyn över efterlevnaden av denna lag och föreskrifter som har meddelats i anslutning till lagen.
Övervägandena finns i kapitel 8.
Medlemsstaterna ska enligt artikel 58.1 i EU:s cybersäkerhetsakt utse en eller flera nationella myndigheter för cybersäkerhetscerti- fiering. Myndigheternas uppgifter som rör cybersäkerhetscertifiering framgår i huvudsak av artiklarna 53.4,
Av artikel 63.1 i EU:s cybersäkerhetsakt följer att fysiska och juridiska personer ska ha rätt att lämna in klagomål till utfärdaren av ett europeiskt cybersäkerhetscertifikat och till den berörda natio- nella myndigheten för cybersäkerhetscertifiering i de fall klagomålet rör ett europeiskt cybersäkerhetscertifikat som utfärdats av ett organ för bedömning av överensstämmelse enligt artikel 56.6.
I paragrafen anges att regeringen ska utse en nationell myndighet för cybersäkerhetscertifiering.
Av första punkten framgår att den nationella myndighet för cyber- säkerhetscertifiering som utses av regeringen ska fullgöra de uppgif- ter som följer av EU:s cybersäkerhetsakt.
Med stöd av andra punkten ska myndigheten även utöva tillsyn över den nya lagen och föreskrifter som har meddelas med stöd av lagen.
318
SOU 2020:58 |
Författningskommentar |
Ackreditering av organ för bedömning av överensstämmelse
3 § I Europaparlamentets och rådets förordning (EG) nr 765/2008 om krav för ackreditering och marknadskontroll i samband med salu- föring av produkter och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns be- stämmelser om ackreditering av organ för bedömning av överensstäm- melse enligt artikel 60.1 i EU:s cybersäkerhetsakt.
Regeringen eller den myndighet som regeringen bestämmer får med- dela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.
Övervägandena finns i avsnitt 10.5.
I artikel 60.1 i EU:s cybersäkerhetsakt anges att organ för bedöm- ning av överensstämmelse ska ackrediteras av det nationella ackrediter- ingsorgan som utsetts i enlighet med förordning (EG) nr 765/2008. Sådan ackreditering ska endast utfärdas under förutsättning att orga- net för bedömning av överensstämmelse uppfyller kraven i EU:s cybersäkerhetsakt och bilagan till akten. I punkten 19 i bilagan anges vidare att organen för bedömning av överensstämmelse ska uppfylla de krav som anges i relevant standard som harmoniserats enligt för- ordning (EG) nr 765/2008.
Bestämmelsen i första stycket innehåller en upplysning om att ackre- ditering sker enligt förordning (EG) nr 765/2008 och lagen (2011:791) om ackreditering och teknisk kontroll, som kompletterar den för- ordningen. Ackrediteringen ska enligt artikel 60.4 i EU:s cyber- säkerhetsakt utfärdas till organen för bedömning av överensstäm- melse för en period på högst fem år och får förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven i artikel 60 och i bilagan till EU:s cyber- säkerhetsakt.
Av artikel 60.2 i EU:s cybersäkerhetsakt följer att om ett euro- peiskt cybersäkerhetscertifikat utfärdas av en nationell myndighet för cybersäkerhetscertifiering enligt artiklarna 56.5 a och 56.6 ska certifieringsorganet vid denna nationella myndighet ackrediteras som ett organ för bedömning av överensstämmelse enligt artikel 60.1.
I 33 § lagen (2011:791) om ackreditering och teknisk kontroll finns bestämmelser om att regeringen eller den myndighet som reger- ingen bestämmer får meddela föreskrifter om själva ackrediteringen.
319
Författningskommentar |
SOU 2020:58 |
Med stöd av bestämmelsen i andra stycket blir det möjligt att med- dela de kompletterande föreskrifter som kan behövas för ackreditering av organ för bedömning av överensstämmelse enligt cybersäkerhets- aktens bestämmelser respektive kompletterande krav för att organen ska ackrediteras.
Tillsynsbefogenheter och sanktioner
4 § Den nationella myndigheten för cybersäkerhetscertifiering har de befogenheter som anges i artikel 58.8 i EU:s cybersäkerhetsakt även vid tillsynen över efterlevnaden av denna lag och föreskrifter som har med- delats i anslutning till lagen.
Övervägandena finns i avsnitt 9.3.
Av paragrafen framgår att de befogenheter som den nationella myndigheten för cybersäkerhetscertifiering har enligt artikel 58.8 i EU:s cybersäkerhetsakt även gäller vid tillsyn över att bestämmelserna i den nya lagen och andra föreskrifter som kompletterar lagen följs.
5 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för att EU:s cybersäkerhetsakt, de genomförandeakter som har meddelats med stöd av den förordningen, denna lag och föreskrifter som har meddelats i anslutning till lagen ska följas.
Ett beslut om föreläggande får förenas med vite.
Den nationella myndigheten för cybersäkerhetscertifiering har rätt att få biträde av Kronofogdemyndigheten för tillsyn i enlighet med arti- kel 58.8 d i EU:s cybersäkerhetsakt.
Övervägandena finns i avsnitt 9.2.
I artikel 58.8 i EU:s cybersäkerhetsakt anges ett antal minimi- befogenheter som den nationella myndigheten för cybersäkerhets- certifiering ska ha vid utövandet av sin tillsyn. Merparten av dessa bestämmelser har s.k. direkt effekt och kräver därför inte komplet- terande nationell reglering.
Enligt artikel 58.8 a i EU:s cybersäkerhetsakt får varje nationell myndighet för cybersäkerhetscertifiering begära att utfärdare av en
320
SOU 2020:58 |
Författningskommentar |
cybersäkerhetscertifikat och organ för bedömning av överensstäm- melse ska lägga fram alla uppgifter som myndigheten behöver för att kunna fullgöra sin uppgift.
I artikel 58.8 b i EU:s cybersäkerhetsakt ges den nationella myn- digheten för cybersäkerhetscertifiering rätt att genomföra undersök- ningar för att kontrollera att utfärdare av en
I artikel 58.8 c i EU:s cybersäkerhetsakt anges att varje nationell myndighet för cybersäkerhetscertifiering ska vidta lämpliga åtgärder, i enlighet med nationell rätt, för att säkerställa att utfärdare av en
I artikel 58.8 d i EU:s cybersäkerhetsakt ges den nationella myn- digheten för cybersäkerhetscertifiering rätt att i samband med en undersökning även få tillgång till alla lokaler hos innehavare av ett europeiskt cybersäkerhetscertifikat eller organ för bedömning av överensstämmelse i syfte att genomföra utredningar i enlighet med unionsrätten eller medlemsstaternas processrätt. Rätten att få tillgång till en lokal för undersökning och kontroll på plats hos en berörd aktör gäller dock inte utfärdare av en
Genom paragrafens första och andra stycke kompletteras arti- kel 58.8 c i EU:s cybersäkerhetsakt. Utredningen anser att föreslagen möjlighet för den nationella myndigheten för cybersäkerhetscerti- fiering att besluta nödvändiga förelägganden, förenade med vite, utgör lämpliga nationella åtgärder för att säkerställa efterlevnad av regelverket. Utfärdare av
321
Författningskommentar |
SOU 2020:58 |
villigt lämna information eller rätta till bristerna och således efter- komma myndighetens påpekanden. Om bristerna i efterlevnaden av regelverket bedöms som allvarliga kan det bli aktuellt att meddela ett åtgärdsföreläggande vid äventyr av vite. Befogenheten att besluta förelägganden innefattar även förbudsföreläggande.
Av andra stycket följer att den nationella myndigheten för cyber- säkerhetscertifiering även har möjlighet att vitesförelägga en enskild att lämna företräde till en lokal. Det är alltså myndigheten som avgör i vilka fall ett föreläggande ska förenas med vite. Det bör dock endast ske när det kan befaras att den det gäller inte kommer att följa beslutet att lämna uppgifter eller frivilligt medverka till en kontroll på platsen.
Den nationella myndigheten för cybersäkerhetscertifiering har möjlighet att besluta om att ett förfarande eller verksamhet inte får fortsätta. Det kan i dessa fall finnas skäl för myndigheten att förordna att beslutet ska gälla omedelbart, t.ex. för att förhindra eller minska sårbarheter och risken för skador. En uttrycklig bestämmelse om rätten att bestämma att ett myndighetsbeslut ska gälla omedelbart behöver inte införas (se 35 § förvaltningslagen och avsnitt 9.2.5).
I tredje stycket anges att den nationella myndigheten för cyber- säkerhetscertifiering kan få biträde av Kronofogdemyndigheten för att få tillgång till en lokal för att kunna kontrollera handlingar, ut- rustning och verksamheten på plats. Myndigheten måste då begära handräckning av Kronofogdemyndigheten för att vid behov få till- träde till ett utrymme. Då gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.
6 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att återkalla europeiska cybersäkerhetscertifikat som utfärdats av den myndigheten eller europeiska cybersäkerhetscertifikat som utfär- dats av organ för bedömning av överensstämmelse i enlighet med arti- kel 56.6 i EU:s cybersäkerhetsakt, om sådana certifikat inte uppfyller kraven i akten eller en europeisk ordning för cybersäkerhetscertifiering.
Överväganden finns i avsnitt 9.4.
Av artikel 58.8 e i EU:s cybersäkerhetsakt framgår att en nationell myndighet för cybersäkerhetscertifiering får i enlighet med nationell rätt återkalla europeiska cybersäkerhetscertifikat som utfärdats av en
322
SOU 2020:58 |
Författningskommentar |
myndighet för cybersäkerhetscertifiering eller av ett organ för be- dömning av överensstämmelse i enlighet med artikel 56.6, om sådana certifikat inte uppfyller kraven i förordningen eller en europeisk ord- ning för cybersäkerhetscertifiering.
Paragrafen, som anger förutsättningarna för att kunna återkalla an- givna certifikat, kompletterar artikel 58.8 e i EU:s cybersäkerhetsakt.
Av paragrafen framgår att den nationella myndigheten för cyber- säkerhetscertifiering får återkalla europeiska cybersäkerhetscertifi- kat när de förutsättningar som anges i artikel 58.8 e föreligger. En sådan återkallelse förutsätter att myndigheten, i enlighet med för- valtningslagen, fattar ett beslut.
Om cybersäkerhetscertifikatet avser en
Om det är fråga om återkallelse av ett frivilligt cybersäkerhets- certifikat kan produkten eller tjänsten eller processen fortsatt till- handahållas på denna marknad under förutsättning att tillverkaren eller leverantören tar bort all märkning och vidtar de övriga åtgärder som krävs för att säkerställa att en köpare eller nyttjare av produkten eller tjänsten eller processen inte missleds att tro att produkten eller tjänsten har ett giltigt cybersäkerhetscertifierad enligt EU:s cyber- säkerhetsakt och en europeisk ordning för cybersäkerhetscertifiering.
En tillverkare eller leverantör som i strid mot angivna bestäm- melser ändå tillhandhåller en
7 § Den nationella myndigheten för cybersäkerhetscertifiering ska ta ut en sanktionsavgift av den som
1.utfärdar en
iEU:s cybersäkerhetsakt utan att fastställda krav på cybersäkerhet i EU:s cybersäkerhetsakt och motsvarande europeisk ordning för cyber- säkerhetscertifiering är uppfyllda,
323
Författningskommentar |
SOU 2020:58 |
2.lämnar oriktiga eller ofullständiga uppgifter vid ansökan om cyber- säkerhetscertifieringen enligt artikel 56.7 i EU:s cybersäkerhetsakt och motsvarande europeiska ordning för cybersäkerhetscertifiering,
3.innehar ett europeiskt cybersäkerhetscertifikat och underlåter att i enlighet med artikel 56.8 i EU:s cybersäkerhetsakt informera den myn- dighet eller det organ som avses i artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT- produkten, IKT- tjänsten eller
4.utfärdat en
5.bryter mot villkor för utfärdande, bibehållande, fortsättande och förnyelse av europeiska cybersäkerhetscertifikat samt villkor för inskränk- ning eller utvidgning av tillämpningsområdet för certifiering enligt EU:s cybersäkerhetsakt eller motsvarande europeisk ordning för cybersäker- hetscertifiering
6.överträder ett beslut om förbud enligt 5 §, eller
7.använder ett europeiskt cybersäkerhetscertifikat som blivit åter- kallat enligt artikel 58.8 e i EU:s cybersäkerhetsakt.
Överväganden finns i avsnitt
Enligt artikel 65 i EU:s cybersäkerhetsakt ska medlemsstaterna fastställa regler om sanktioner för överträdelser av bestämmelserna i förordningen. Sanktionerna ska vara effektiva, proportionella och avskräckande.
I paragrafen anges de överträdelser av regelverket som kan föran- leda att en sanktionsavgift ska påföras den som gjort sig skyldig till överträdelsen. Det krävs inte att det föreligger någon form av uppsåt eller vårdslöshet hos den som gjort sig skyldig till överträdelsen. Det innebär att det föreligger ett strikt ansvar för visade överträdelser. Av 9 § framgår att den nationella myndigheten för cybersäkerhets- certifiering ska beakta olika försvårande och förmildrande omstän- digheter vid prövningen av avgiftens storlek.
Enligt punkten 1 kan den som utfärdar en
324
SOU 2020:58 |
Författningskommentar |
I punkten 2 anges att den som lämnar oriktiga eller ofullständiga uppgifter vid ansökan om cybersäkerhetscertifieringen enligt arti- kel 56.7 i EU:s cybersäkerhetsakt kan påföras en sanktionsavgift. En sådan avgift bör dock inte påföras om uppgifterna är av mindre be- tydelse för prövningen och bedömningen av överensstämmelse. Det är först när den felaktiga uppgiften eller utlämnandet av uppgiften eller informationen riskerar att medföra en felaktig bedömning av överensstämmelsen med bl.a. de säkerhetskrav som gäller för be- dömningen som en sanktionsavgift kan bli aktuell.
Av punkten 3 följer att den som innehar ett europeiskt cyber- säkerhetscertifikat och underlåter att i enlighet med artikel 56.8 i EU:s cybersäkerhetsakt informera den myndighet eller det organ som avses i artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhets- krav som gäller för den certifierade
I punkten 4 anges att den som utfärdat en
Av punkten 5 följer att den som bryter mot villkor för utfärdande, bibehållande, fortsättande och förnyelse av europeiska cybersäkerhets- certifikat samt villkor för inskränkning eller utvidgning av tillämpnings- området för certifiering enligt regelsystem kan påföras en sanktions- avgift.
Av punkten 6 framgår att den som överträder ett förbud som med- delats med stöd av 4 § i lagen kan påföras en sanktionsavgift. Denna bestämmelse anger att även lagens bestämmelser och de föreskrifter som meddelas med stöd av lagen utgör viktiga handlingsregler för ett effektivt genomförande av det europeiska ramverket för cyber- säkerhetscertifiering.
325
Författningskommentar |
SOU 2020:58 |
I punkten 7 anges att den som använder ett europeiskt cybersäker- hetscertifikat som blivit återkallat enligt artikel 58.8 e ska påföras en sanktionsavgift. Det är viktigt att respekten för regelsystemet upp- rätthålls och den som fortsatt använder ett cybersäkerhetscertifikat som blivit återkallat riskerar att tilliten och förtroendet för utfärdade certifikat urholkas. I dessa fall torde förmildrande eller ursäktliga omständigheter vara mer sällsynta varför utrymmet för att efterge eller jämka en avgift är mer begränsat.
8 § En sanktionsavgift ska bestämmas till lägst 10 000 kronor och högst 15 000 000 kronor.
Övervägandena finns i avsnitt 9.5.9.
I paragrafen fastställs minimi- och maxbelopp för sanktionsavgift. Hur avgiften ska bestämmas i det enskilda fallet regleras i 9 §. Den nationella myndigheten för cybersäkerhetscertifiering beslutar om sanktionsavgiftens storlek.
9 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller risk för skada som uppstått till följd av överträdelsen, om den som begått överträdelsen tidigare begått en överträdelse och de kostnader som denne undvikit till följd av överträdelsen
Övervägandena finns i avsnitt 9.5.10.
I paragrafen regleras vilka omständigheter som särskilt ska be- aktas när den nationella myndigheten för cybersäkerhetscertifiering bestämmer sanktionsavgiftens storlek. Av paragrafen framgår att särskild hänsyn ska tas till den skada eller risk för skada som uppstått till följd av överträdelsen, om den avgiftsskyldige tidigare begått en överträdelse och de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen. En försvårande omständighet vid bedömningen av skadan eller risken för skada är om överträdelsen medför sårbar- het eller risk för skada på bl.a. samhällsviktig verksamhet och/eller säkerhetskänslig verksamhet. Även det förhållandet att överträdel- sen medför skada eller risk för skada hos större konsumentgrupper bör beaktas vid bedömningen av avgiftens storlek.
326
SOU 2020:58 |
Författningskommentar |
10 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att sätta ned eller avstå från att ta ut en sanktionsavgift om över- trädelsen är ringa eller om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Övervägandena finns i avsnitt 9.5.10.
Paragrafen innehåller en bestämmelse om nedsättning av en sank- tionsavgift eller att avstå från att ta ut avgiften.
Av paragrafen följer att den nationella myndigheten för cyber- säkerhetscertifiering kan sätta ned sanktionsavgiften, helt eller del- vis, om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. Det kan exempelvis vara oskäligt att ta ut en avgift om den avgiftsskyldige redan har drabbats av en sanktionsavgift enligt något annat regelverk för i princip samma brist. Att regelverket har överträtts på ett sådant sätt att det varit närmast omöjligt för den avgiftsskyldige att upptäcka överträdelsen eller överträdelsen på annat sätt varit utom den avgiftsskyldiges kontroll, kan i undantagsfall göra överträdelsen ursäktlig och därför utgöra grund för jämkning.
Det kan också finnas grund för jämkning när det rör sig om en bedömningsfråga, t.ex. vilka certifieringsåtgärder som är nödvändiga i ett visst sammanhang – och berörd aktör trots en gedigen gransk- ning gjort en felaktig bedömning.
Andra omständigheter att beakta i mildrande riktning kan vara att den avgiftsskyldige har samarbetat med den nationella myndig- heten för cybersäkerhetscertifiering för att komma till rätta med överträdelsen eller skyndsamt har vidtagit rättelse för att minska skadan eller risken för skada.
11 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
Övervägandena finns i avsnitt 9.5.11.
Paragrafen syftar till att förhindra att samma överträdelse blir föremål för dubbla prövningar och sanktioner.
Om ett vitesföreläggande har meddelats och en domstolsprocess inletts om utdömande av vitet är den nationella myndigheten för
327
Författningskommentar |
SOU 2020:58 |
cybersäkerhetscertifiering enligt bestämmelsen förhindrad att besluta om sanktionsavgift för samma överträdelse. En överträdelse kan bli föremål för både åtgärdsföreläggande vid äventyr av vite, så länge ingen ansökan om utdömande av vitet görs, och sanktionsavgift.
12 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
Övervägandena finns i avsnitt 9.5.12.
Första stycket innebär att om kommunikation enligt förvaltnings- lagen med den som avgiften ska tas ut av inte har skett inom två år från den dag då överträdelsen ägde rum, får en sanktionsavgift inte tas ut. Bevisbördan för att kommunikation har skett ligger på den nationella myndigheten för cybersäkerhetscertifiering.
Av andra stycket framgår att ett beslut om sanktionsavgift ska del- ges. Det innebär att myndigheten ska använda sig av de metoder för delgivning som regleras i delgivningslagen.
13 § En sanktionsavgift ska betalas till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning.
Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.
Vid indrivning får verkställighet ske enligt utsökningsbalken. En sanktionsavgift tillfaller staten.
Övervägandena finns i avsnitt 9.5.12.
Paragrafen innehåller bestämmelser om betalning och indrivning av sanktionsavgifter.
328
SOU 2020:58 |
Författningskommentar |
14 § En beslutad sanktionsavgift faller bort till den del beslutet om av- giften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Övervägandena finns i avsnitt 9.5.12.
Paragrafen innehåller en bestämmelse om när en beslutad sank- tionsavgift inte längre behöver betalas.
Tystnadsplikt
15 § Den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt får inte obehörigen röja eller utnyttja det som han eller hon fått känne- dom om under det att uppgifterna utfördes.
Den som bryter mot tystnadsplikten kan dömas för brott mot tystnads- plikten enligt 20 kap. 3 § brottsbalken.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400).
Övervägandena finns i avsnitt 12.5.
Paragrafen innehåller bestämmelser om tystnadsplikt för den som befattat sig med ett ärende som gäller cybersäkerhetscertifiering en- ligt EU:s cybersäkerhetsakt.
Det kan förekomma att uppgifter i ett ärende om europeisk cybersäkerhetscertifiering hanteras av personer utanför det allmän- nas verksamhet som inte omfattas av regleringen i OSL. Vissa organ för bedömning av överensstämmelse kan nämligen vara organiserade i privaträttsliga former.
Tystnadsplikten innebär enligt första stycket att sådana personer inte får avslöja eller utnyttja det han eller hon fått kännedom om under det att uppgifterna utfördes. Tystnadsplikten gäller såväl under som efter någons deltagande i verksamhet som omfattas av bestäm- melsens tillämpningsområde.
Den som bryter mot tystnadsplikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken. I andra stycket finns en upplysningsbestämmelse om detta.
I tredje stycket finns en upplysning om att OSL tillämpas i stället för första styckets regler om tystnadsplikt när det gäller den all- männa verksamhet som bl.a. nationella myndigheter och offentliga organ för bedömning av överensstämmelse bedriver.
329
Författningskommentar |
SOU 2020:58 |
Avgifter
16 § Den nationella myndigheten för cybersäkerhetscertifiering får ta ut avgifter för sin verksamhet enligt EU:s cybersäkerhetsakt och denna lag.
Regeringen eller den myndighet som regeringen bestämmer får med- dela föreskrifter om avgiftssystemets utformning enligt första stycket.
Övervägandena finns i avsnitt 8.5.
Paragrafen gör det möjligt att införa ett avgiftssystem för att finan- siera verksamheterna vid den nationella myndigheten för cybersäker- hetscertifiering. Avgiftsfinansieringen är främst avsedd att ersätta kostnader som uppkommer i samband med att myndigheten utför tillsyn och certifiering. Den nationella myndigheten för cybersäker- hetscertifiering ges således möjlighet att begära ersättning för kost- naderna för utförd kontrollåtgärd från ekonomiska aktörer. Avgifter får tas ut för tjänster som myndigheten tillhandahåller i sin certifier- ingsverksamhet samt av dem som prövas eller är föremål för tillsyns- åtgärd. Möjligheten att ta ut avgift bör omfatta alla berörda utfärdare av
I det tredje stycket bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela närmare bestämmelser om avgiftssystemets utformning.
Omprövning hos privata organ för bedömning av överensstämmelse
17 § Finner ett privat organ för bedömning av överensstämmelse att ett beslut som det meddelat är uppenbart oriktigt på grund av nya omständig- heter eller av någon annan anledning ska organet ändra beslutet, om det kan ske snabbt och enkelt och utan att det blir till nackdel för någon enskild.
Övervägandena finns i avsnitt 11.3.
I paragrafen finns en bestämmelse som föreskriver en skyldighet för privata organ för bedömning av överensstämmelse att ompröva ett beslut när det är uppenbart oriktigt på grund av nya omständig- heter eller av någon annan anledning. Bestämmelsen är utformad med ledning av motsvarande bestämmelser i förvaltningslagen.
330
SOU 2020:58 |
Författningskommentar |
Överklagande
18 § Beslut enligt EU:s cybersäkerhetsakt och denna lag får över- klagas till allmän förvaltningsdomstol. Även beslut av ett privat organ för bedömning av överensstämmelse enligt dessa författningar får över- klagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Övervägandena finns i avsnitt 11.4.3.
I paragrafen regleras rätten att överklaga beslut av den nationella myndigheten för cybersäkerhetscertifiering och organ för bedömning av överensstämmelse. Detta gäller även beslut av privata organ för bedömning av överensstämmelse. I fråga om förfarandet vid över- klagande av de privata kontrollorganens beslut finns bestämmelser i lagen (1986:1142) om överklagande av beslut av enskilda organ med offentliga förvaltningsuppgifter.
Klagoberättigade är var och en som beslutet har gått emot.
Ikraftträdande
Artiklarna 58, 60, 61, 63, 64 och 65 i EU:s cybersäkerhetsakt ska tillämpas från och med den 28 juni 2021. Denna lag bör därför gälla från samma tidpunkt.
331
Referenser
Offentliga tryck
Propositioner och skrivelser
Prop. 2018/19:150, Skärpta åtgärder mot penningtvätt och finan- siering av terrorism.
Prop. 2017/18:235, Följdändringar till ny förvaltningslag.
Prop. 2017/18:232, Brottsdatalag.
Prop. 2017/18:205, Informationssäkerhet för samhällsviktiga och digitala tjänster.
Prop. 2017/18:89, Ett modernt och stärkt skydd för Sveriges säkerhet
–ny säkerhetsskyddslag.
Prop. 2016/17:180, En modern och rättssäker förvaltning – ny för- valtningslag.
Prop. 2015/16:72, Kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.
Prop. 2014/15:109, Försvarspolitisk inriktning – Sveriges försvar
Prop. 2012/13:192, Sekretess i det internationella samarbetet.
Prop. 2012/13:143, Effektivare sanktioner för arbetsmiljö- och arbets- tidsreglerna.
Prop. 2010/11:80, Ny lag om ackreditering och teknisk kontroll. Prop. 2008/2009:15, Offentlighets- och sekretesslag.
Prop. 2006/07:6, Kompletterande bestämmelser till
Prop. 2002/03:139, Reformerade regler för bank- och finansierings- rörelse.
Prop. 1994/95:112, Utrikessekretess m.m.
333
Referenser |
SOU 2020:58 |
Prop. 1981/82:142, om ändring i brottsbalken (ekonomiska sanktioner vid brott i näringsverksamhet).
Prop. 1979/80:2, med förslag till sekretesslag m.m.
Skr. 2016/17:213, Nationell strategi för samhällets informations- och cybersäkerhet.
Skr. 2009/10:79, En tydlig, rättssäker och effektiv tillsyn.
Lagrådsremisser
Regeringens lagrådsremiss En anpassning av bestämmelser om kontroll i livsmedelskedjan till EU:s nya kontrollförordning
Statens offentliga utredningar
SOU 2018:82: Kompletteringar till den nya säkerhetsskyddslagen.
SOU 2017:36: Informationssäkerhet för samhällsviktiga och digitala tjänster.
SOU 2015:25: En ny säkerhetsskyddslag.
SOU 2015:23: Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten.
SOU 2014:83: Sanktionsväxling – effektivare sanktioner på export- kontrollområdet.
SOU 2013:38: Vad bör straffas?
SOU 2010:25: Översyn av verksamhet och organisation på informationssäkerhetsområdet.
SOU 2009:71: EU, Sverige och den inre marknaden – En översyn av horisontella bestämmelser inom varu- och tjänsteområdet.
SOU 2007:96: Avgifter.
SOU 2002:14: Statlig tillsyn – Granskning på medborgarnas uppdrag.
SOU 1997:57: I medborgarnas tjänst.
334
SOU 2020:58 |
Referenser |
Departementspromemorior
Ds 2019:8: Värnkraft: Inriktningen av säkerhetspolitiken och utform- ningen av det militära försvaret
Ds 2017:66: Motståndskraft: Inriktningen av totalförsvaret och ut- formningen av det civila försvaret
Rapporter
MSB, FRA, FMV, Försvarsmakten, PTS, Polismyndigheten, och Säkerhetspolisen (mars 2020): Samlad informations- och cybersäkerhetshandlingsplan
Kommerskollegiums rapport (2018): The Cyber Effect
–the implications of IT security regulation on international trade, uppdaterad
Riksrevisionens granskningsrapport RiR 2016:8 (maj 2016): Informationssäkerhetsarbete på nio myndigheter – En andra granskning av informationssäkerheten i staten.
MSB (mars 2016): Nationell handlingsplan för samhällets informationssäkerhet, Slutrapport.
Riksrevisionen granskningsrapport RIR 2014:23 (november 2014): Informationssäkerheten i den civila statsförvaltningen.
Bilagor till Meddelande från Kommissionen till Europaparlamentet, Rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén, Kommissionens arbetsprogram 2020:
En ambitiösare union, COM(2020) 37 final,
Europeiska kommissionen: Förslag till Europaparlamentets
och rådets förordning om inrättande av Europeiska kompetens- centrumet för cybersäkerhet inom näringsliv, teknik och forskning och av nätverket av nationella samordningscentrum, COM(2018) 630 final,
Gemensam förklaring från Europeiska rådets ordförande, Europeiska kommissionens ordförande och Nordatlantiska fördrags- organisationens generalsekreterare,
335
Referenser |
SOU 2020:58 |
Rådets slutsatser om EU:s samordnade insatser vid storskaliga cyberincidenter och cyberkriser, 10085/18,
Europeiska kommissionen: Förslag till Europaparlamentets och rådets förordning om europeiska utlämnandeorder och bevarande- order för elektroniska bevis i straffrättsliga förfaranden, COM(2018) 225 final,
Europeiska unionens råd: Handlingsplan för genomförandet
av rådets slutsatser om det gemensamma meddelandet till Europa- parlamentet och rådet: Resiliens, avskräckning och försvar:
ett starkt cyberförsvar för EU, 15748/17,
Europeiska unionens råd: Slutrapport om den sjunde omgången av ömsesidiga utvärderingar om det praktiska genomförandet och verkan av europeisk politik för förebyggande och bekämpning av
Europeiska ekonomiska och sociala kommittén (mars 2018): Cybersecurity: Ensuring awareness and resilience of the private sector across Europe in face of mounting cyber risks.
Europeiska unionens råd: Draft implementing guidelines for the Framework on a Joint Diplomatic Response to Malicious Cyber Activities, 13007/17,
Europeiska kommissionen: Impact assessment on the EU Cyber- security Agency and Cybersecurity Act, SWD(2017) 500 final,
Europeiska kommissionen (september 2017): Europeans’ attitudes towards cybersecurity, särskild Eurobarometer 464a.
Europeiska kommissionen/Europeiska utrikestjänsten: Resiliens, avskräckning och försvar: ett starkt cyberförsvar för EU, JOIN(2017) 450 final,
Europeiska unionens råd: Slutsatser om en ram för en gemensam diplomatisk respons från EU mot skadlig
Meddelande från Kommissionen till Europaparlamentet, Rådet, Europeiska ekonomiska och sociala kommittén samt Region- kommittén (KOM(2017) 228 slutlig) om halvtidsöversynen av genomförandet av strategin för den digitala inre marknaden: En ansluten digital inre marknad för alla.
336
SOU 2020:58 |
Referenser |
Europeiska kommissionen/Europeiska utrikestjänsten: Gemensam ram för att motverka hybridhot – Europeiska unionens insatser, JOIN(2016) 18 final,
Europeiska unionens råd: EU cybersecurity roadmap, 8901/17,
Gemensamt meddelande till Europaparlamentet och rådet (JOIN(2017) 450 slutlig): Resiliens, avskräckning och försvar: ett starkt cyberförsvar för EU.
Europeiska unionens råds slutsatser den 15 november 2016 (doknr 13967/1/16 REV 1) om att stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch.
Europeiska kommissionen: En strategi för en inre digital marknad
iEuropa, COM(2015) 192 final,
Meddelande från Kommissionen till Europaparlamentet, Rådet, Europeiska ekonomiska och sociala kommittén samt Region- kommittén (KOM(2016) 410 slutlig): Stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch.
Europeiska kommissionen (den 28 april 2015): Europeiska säkerhets- agendan, COM(2015) 185 final.
Europeiska unionens råd: Rådets slutsatser om cyberdiplomati, 6122/15,
Gemensamt meddelande från Europeiska kommissionen och Euro-
peiska avdelningen för yttre åtgärder (JOIN(2013) 1 slutlig): EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd.
Meddelande från Kommissionen till Europaparlament och rådet (KOM(2009) 277): Förvaltning av Internet – framtida åtgärder.
Övriga handlingar
ENISA (december 2019): Standardisation in support of the cybersecurity certification.
ENISA (januari 2019): Threat Landscape Report 2018, 15 Top Cyberthreats and Trends, final version 1.0, ETL 2018.
337
Referenser |
SOU 2020:58 |
Europeiska revisionsrätten (mars 2019): Utmaningar för en ändamålsenlig EU politik för cybersäkerhet, Briefingdokument.
T.Renard och A. Barrinha: Europeiska säkerhets- och försvars-
akademin: Handbook on cyber security, chapter 3.4 The EU as a partner in cyber diplomacy and defence,
Europaparlamentets utredningstjänst (september 2018): Briefing EU Legislation in Progress: ENISA and a new cybersecurity act, PE 614.643.
NIS Cooperation Group (2018): Cybersecurity Incident Taxonomy,
Europol (2017): Internet Organised Crime Threat Assessment 2017.
ENISA (september 2017): Overview of cybersecurity and related terminology, version 1.
Cybersecurity law overview – a report by Mannheimer Swartling, april 2017.
Europeiska cybersäkerhetsorganisationen (Ecso, juni 2016): European Cybersecurity Industry Proposal for a contractual
ENISA (december 2015): Definition of Cybersecurity: Gaps and overlaps in standardization, version 1.0.
SIS: Terminologi för informationssäkerhet, teknisk rapport
ENISA (december 2014): Security Guide for ICT Procurement: ICT Procurement Security Guide for Electronic Communications Service Providers.
FOI MEMO 5100: Analys av informations- och cybersäkerhet
iNRFB,
Ulväng m.fl. (2014): Brotten mot allmänheten och staten, 2 uppl.
CEN/CENELEC/ETSI Cyber Security Coordination Group (CSCG): White Paper No. 01, Recommendations for a Strategy on European Cybersecurity Standardisation, version 01.08,
338
Bilaga 1
Kommittédirektiv 2019:73
Cybersäkerhet – genomförandet av cybersäkerhetsakten och vissa åtgärder till skydd för säkerhetskänslig verksamhet
Beslut vid regeringssammanträde den 31 oktober 2019
Sammanfattning
En särskild utredare ska föreslå de anpassningar och kompletterande författningsbestämmelser som cybersäkerhetsakten ger anledning till. Syftet är att säkerställa att den kompletterande nationella reglering som behövs finns på plats när hela förordningen börjar tillämpas den 28 juni 2021. Utredaren ska också överväga om det finns anledning att införa ytterligare krav för att skydda verksamheter som är av bety- delse för Sveriges säkerhet.
Utredaren ska bl.a.
•undersöka vilka kompletterande nationella föreskrifter, exempel- vis processuella bestämmelser och bestämmelser om sanktioner, som förordningen kräver eller Sverige bör införa,
•föreslå vilken befintlig myndighet som ska få i uppdrag att vara tillsynsmyndighet,
•analysera om, och i så fall föreslå vilka kompletterande bestäm- melser som bör införas dels om självbedömning av överensstäm- melse med de krav som ställs i certifieringsordningar och dels om organ för bedömning av överensstämmelse i den svenska regler- ingen,
339
Bilaga 1 |
SOU 2020:58 |
•bedöma om det bör införas krav på certifiering och godkännande av vissa produkter, tjänster och processer som ska användas i verk- samheter som är av betydelse för Sveriges säkerhet och föreslå hur ett sådant system skulle kunna utformas, och
•lämna sådana författningsförslag som i övrigt behövs och är lämp- liga.
Uppdraget ska i den del som avser anpassningar med anledning av
Den nya regleringen – cybersäkerhetsakten
Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommuni- kationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) trädde i kraft den 27 juni 2019. Förordningen började tillämpas direkt med undantag för vissa artiklar som kräver kompletterande bestämmelser på nationell nivå och som därför ska börja tillämpas först den 28 juni 2021. Det huvudsakliga syftet med förordningen är att säkerställa en väl fungerande inre marknad och samtidigt sträva efter att uppnå en hög nivå i fråga om cybersäkerhet, cyberresiliens och förtroende inom unionen.
Förordningen är uppdelad i två delar. Den första delen gäller fast- ställandet av mål, uppgifter och organisatoriska frågor som rör Enisa. Denna del kräver enligt regeringens bedömning ingen särskild kompletterande nationell reglering från medlemsstaternas sida. Den andra delen reglerar fastställandet av ett europeiskt ramverk för cyber- säkerhetscertifiering. Syftet är att säkerställa en tillfredsställande nivå i fråga om cybersäkerhet för informations- och kommunikations- teknik (IKT) i unionen samt att undvika en fragmentering av den inre marknaden när det gäller certifieringsordningar i unionen. Ska- pandet av europeiska ordningar för cybersäkerhetscertifiering kom- mer att medföra att certifikat som utfärdas enligt dessa certifierings- ordningar blir giltiga och erkända i alla medlemsstater. Förutom att beskriva de säkerhetsmålsättningar som ska beaktas i utformningen
340
SOU 2020:58 |
Bilaga 1 |
av de europeiska ordningarna för cybersäkerhetscertifieringar, anger förordningen vad minimiinnehållet i sådana ordningar bör vara. För- ordningen anger också väsentliga funktioner och uppgifter för Enisa inom cybersäkerhetscertifiering. Kommissionen kommer att utarbeta löpande arbetsprogram för europeisk cybersäkerhetscertifiering där det fastställs strategiska prioriteringar för framtida europeiska ord- ningar för cybersäkerhetscertifiering. De europeiska certifieringsord- ningarna kommer sedan att utarbetas av Enisa, med hjälp av expertråd och i nära samarbete med den europeiska gruppen för cybersäker- hetscertifiering (ECCG), som också har inrättats genom förord- ningen. Gruppens uppgifter regleras i förordningen och består bl.a. i att ge råd till och bistå kommissionen vad gäller cybersäkerhets- certifiering och utarbetande av de europeiska ordningarna för cyber- säkerhetscertifiering. En annan uppgift för gruppen är att underlätta anpassningen av de europeiska ordningarna till internationellt erkända standarder och att, där så är lämpligt, lämna rekommendationer till Enisa om att samarbeta med relevanta internationella standardiser- ingsorganisationer för att åtgärda brister eller luckor i de befintliga internationellt erkända standarderna. Kommissionen ska, med stöd från Enisa, vara ordförande i gruppen. Kommissionen antar sedan de europeiska ordningarna för cybercertifiering genom genomförande- akter.
En europeisk ordning för cybersäkerhetscertifiering får innehålla en eller flera av följande assuransnivåer för
341
Bilaga 1 |
SOU 2020:58 |
för incidenter och cyberattacker. Den utvärdering som ska göras ska innefatta åtminstone en granskning av den tekniska dokumentatio- nen. Om en sådan granskning inte är lämplig ska alternativa utvär- deringsinsatser med likvärdig effekt utföras. Om en europeisk ord- ning för cybersäkerhetscertifiering ger möjlighet till självbedömning av överensstämmelse bör det vara tillräckligt att tillverkaren eller leverantören har gjort en självbedömning av
Enligt förordningen ska övervakning, tillsyn och verkställighets- uppgifter framför allt ligga hos medlemsstaterna. Medlemsstaterna ska utse en eller flera tillsynsmyndigheter, så kallade nationella myn- digheter för cybersäkerhetscertifiering. Myndigheten eller myndig- heterna kommer bl.a. att få i uppdrag att övervaka och kontrollera organ för bedömning av överensstämmelse, innehavare av europeiska cybersäkerhetscertifikat och utfärdare av en
Förordningens bestämmelser ska inte påverka tillämpningen av särskilda bestämmelser om frivillig eller obligatorisk certifiering i andra unionsrättsakter. Förordningen ska heller inte påverka med- lemsstaternas befogenheter i fråga om verksamhet som berör allmän säkerhet, försvar, nationell säkerhet och statens verksamhet på straff- rättens område. Den delen av förordningen som rör cybersäkerhets- certifiering kommer att kräva anpassningar och kompletterande för- fattningsbestämmelser på nationell nivå.
342
SOU 2020:58 |
Bilaga 1 |
Uppdraget att genomföra EU:s cybersäkerhetsakt
Allmänna riktlinjer för uppdraget
Cybersäkerhetsakten kommer att reglera den cybersäkerhetscerti- fiering som följer av en europeisk certifieringsordning för cybersäker- hetscertifiering som fastställts av kommissionen. I dag bestämmer en producent själv om en produkt, tjänst eller process ska certifieras och i så fall vilket certifieringsorgan som ska utföra certifieringen. Utgångspunkten kommer att vara att certifieringen även i framtiden ska vara frivillig, oavsett om en europeisk ordning för cybersäker- hetscertifiering finns på plats eller inte. Detta är dock upp till varje medlemsstat att bestämma. Den största skillnaden är att när en sådan europeisk ordning för cybersäkerhetscertifiering finns på plats, får inte längre nationella cybersäkerhetscertifieringar utföras inom det område som täcks av den europeiska ordningen för cybersäkerhets- certifiering. Förordningen innebär också att när en europeisk ordning för cybersäkerhetscertifiering ska användas reglerar förordningen vilka krav som ställs på certifieringen, certifieringsorganen och de leverantörer och producenter som innehar ett sådant certifikat. Det finns därför ett behov av att ta fram en nationell reglering som kom- pletterar förordningen.
Utredaren ska därför
•lämna förslag till författningsbestämmelser som kompletterar cybersäkerhetsakten.
Vilken myndighet ska vara nationell myndighet för cybersäkerhetscertifiering?
Cybersäkerhetsakten föreskriver att varje medlemsstat ska utse en eller flera nationella myndigheter för cybersäkerhetscertifiering på sitt territorium som ansvariga för tillsynsuppgifterna. Alternativt kan medlemsstaten, efter överenskommelse med en annan medlems- stat, utse en eller flera nationella myndigheter för cybersäkerhets- certifiering som är etablerade i denna andra medlemsstat (artikel 58).
Flertalet av cybersäkerhetsaktens bestämmelser om nationella myndigheter för cybersäkerhetscertifiering gäller direkt och medför inga krav på eller behov av kompletterande nationella bestämmelser. Medlemsstaterna ska dock underrätta kommissionen om vilka myn-
343
Bilaga 1 |
SOU 2020:58 |
digheter som utsetts och, om fler än en myndighet utsetts, vilka upp- gifter de olika myndigheterna ska ha. Myndigheterna kommer bl.a. även att ha en roll när det gäller utfärdandet av europeiska cyber- säkerhetscertifikat (på nivån ”hög”), och då måste medlemsstaterna säkerställa att denna verksamhet är avskild från uppgifterna som myndigheten ska utföra som tillsynsmyndighet och att den utförs av oberoende enheter.
Vissa andra frågor är i och för sig reglerade i förordningen men tillåter ytterligare nationell reglering. Detta gäller exempelvis regler- ingen om tillsynsmyndighetens befogenheter i artikel 58.8. Det är vidare upp till medlemsstaterna att inom vissa angivna ramar reglera bl.a. tillsynsmyndighetens organisation och se till att myndigheten har tillräckliga resurser.
Vid tillsynsmyndigheten kommer det att samlas känslig informa- tion om cybersäkerheten i vissa produkter, tjänster och processer eftersom myndigheten kommer att ha ett särskilt ansvar för utfär- dande av certifikat enligt den högsta assuransnivån. Det är därför viktigt att myndigheten har personal med erfarenhet av och förmåga att bedöma och hantera uppgifter enligt de krav som ställs i offent- lighets- och sekretesslagen (2009:400) och säkerhetsskyddslagen (2018:585). Sveriges certifieringsorgan för
Styrelsen för ackreditering och teknisk kontroll (Swedac) har i dag vissa av de uppgifter som den nationella myndigheten för cyber- säkerhetscertifiering ska ha. Enligt sin instruktion ska Swedac bl.a. ansvara för frågor om teknisk kontroll, vilket inkluderar ackrediter- ing och frågor i övrigt om bedömning av överensstämmelse. Swedac ska särskilt ansvara för ordningar för bedömning av överensstäm- melse/teknisk provning och kontroll. Detta inbegriper att i EU, inter- nationellt och nationellt verka för öppna och harmoniserade tekniska kontrollordningar, ackrediteringssystem och normer för ömsesidigt godtagande av resultat från provningar, certifieringar och andra bevis om överensstämmelse som undanröjer tekniska handelshinder samt upprätthålla och vidareutveckla öppna, kostnadseffektiva och behovs- anpassade ordningar för teknisk kontroll och bedömning av överens- stämmelse. Swedac är även nationellt ackrediteringsorgan i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/2008
344
SOU 2020:58 |
Bilaga 1 |
av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förord- ning (EEG) nr 339/93 och anmäler och utövar tillsyn över organ som enligt lagen (2011:791) om ackreditering och teknisk kontroll ska anmälas för uppgifter i samband med bedömning av överens- stämmelse enligt bestämmelser som gäller inom EU.
För att undvika att den nationella myndigheten för cybersäker- hetscertifiering tilldelas uppgifter som redan utförs av Swedac bör utredaren kartlägga hur förhållandet mellan den nationella myndig- heten för cybersäkerhetscertifiering och Swedac ska se ut, i vilka fall de två myndigheterna ska samarbeta och vilket behov av komplet- terande nationella bestämmelser som behövs. Det är viktigt att ut- redaren i detta arbete beaktar de kostnader, den tid och andra aspek- ter som en dubbel granskning av såväl Swedac som den nationella tillsynsmyndigheten kommer att innebära för den som blir granskad.
Utredaren ska därför
•föreslå vilken befintlig myndighet som ska få i uppdrag att vara nationell tillsynsmyndighet för cybersäkerhetscertifiering,
•ta ställning till hur myndighetens organisation påverkas,
•kartlägga vilket förhållande den nationella myndigheten för cyber- säkerhetscertifiering ska ha till Swedac och hur uppgifterna ska fördelas dem emellan för att undvika såväl överlappande gransk- ningar som luckor i tillsynen, samt
•utarbeta nödvändiga kompletterande författningsförslag, inklusive om de befogenheter som den nationella myndigheten för cyber- säkerhetscertifiering ska tilldelas, i syfte att myndigheten ska kunna utföra de uppgifter som följer av förordningen.
Ska det införas kompletterande bestämmelser om sanktioner?
Cybersäkerhetsakten innehåller i artikel 65 bestämmelser om att med- lemsstaterna ska fastställa regler om sanktioner vid överträdelser av den delen av förordningen som reglerar ett ramverk för cybersäker- hetscertifiering och för överträdelser av europeiska ordningar för cybersäkerhetscertifiering. Medlemsstaterna ska också vidta alla nöd- vändiga åtgärder för att se till att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. I artikel 58.8 finns en
345
Bilaga 1 |
SOU 2020:58 |
lista över de befogenheter som de nationella myndigheterna för cyber- säkerhetscertifiering måste ha. I punkt f anges att myndigheterna ska utdöma sanktioner i enlighet med nationell rätt och kräva att över- trädelser av skyldigheterna i förordningen omedelbart upphör. Med- lemsstaterna ska vidare enligt artikel 65 anmäla dessa regler och åt- gärder samt eventuella ändringar som berör dem till kommissionen utan dröjsmål. I förordningen saknas dock närmare bestämmelser om hur detta ska gå till och vilka som ska kunna drabbas av sank- tioner. Till detta kommer också att det föreslagna systemet är fri- villigt. Om sanktionerna för att bryta mot ett system som inte är obligatoriskt är för långtgående finns det risk för att aktörer inte kommer att använda sig av den europeiska cybersäkerhetscertifier- ingen eller att de vänder sig till länder med mildare sanktionssystem. Samtidigt får det europeiska systemet inte bli tandlöst för dem som trots allt väljer att använda sig av det. Det finns därför behov av att analysera och ta ställning till i vilken utsträckning överträdelser av förordningen bör bli föremål för sanktioner i Sverige.
Utredaren ska därför
•analysera vilka kompletterande bestämmelser om sanktioner som Sverige behöver eller bör införa,
•lämna sådana författningsförslag som behövs och är lämpliga.
Processuella frågor och rätten att klaga
Av artikel 58.8 i förordningen framgår det att utövandet av tillsyns- myndighetens befogenheter ska vara föremål för lämpliga skydds- åtgärder, bl.a. effektiva rättsmedel. Enligt artikel 58.8 d ska tillsyns- myndigheten ha befogenhet att få tillgång till lokaler hos organ för bedömning av överensstämmelse eller hos innehavare av ett europe- iskt cybersäkerhetscertifikat i enlighet med unionsrätten eller natio- nell processrätt. Fysiska och juridiska personer ska, enligt förord- ningen, ha rätt att lämna in klagomål till utfärdaren av ett europeiskt cybersäkerhetscertifikat eller, när klagomålet rör ett europeiskt cyber- säkerhetscertifikat som utfärdats av ett organ för bedömning av över- ensstämmelse, till den behöriga nationella myndigheten för cyber- säkerhetscertifiering (artikel 63.1). Vidare ska fysiska och juridiska personer ha rätt till ett effektivt rättsmedel mot den myndighet eller de organ som nämnts ovan och som fattat ett beslut, och när det
346
SOU 2020:58 |
Bilaga 1 |
gäller underlåtenhet att vidta åtgärder med anledning av ett klagomål som lämnats in till myndigheten eller organet (artikel 64.1). Detta torde för svensk del bäst tillgodoses genom en rätt för enskilda att överklaga tillsynsmyndighetens beslut till allmän förvaltningsdom- stol.
Behovet av kompletterande nationella bestämmelser i de ovanstå- ende frågorna behöver bli föremål för närmare analys.
Utredaren ska därför
•analysera i vilken utsträckning det behövs kompletterande be- stämmelser om utövandet av tillsynsmyndighetens befogenheter,
•ta ställning till i vilken utsträckning det behövs kompletterande bestämmelser om de rättsmedel för enskilda som regleras i för- ordningen, och
•lämna sådana författningsförslag som behövs och är lämpliga.
Hur ska förordningens bestämmelser om organ för bedömning av överensstämmelse och självbedömning av överensstämmelse genomföras?
Förordningen reglerar även organ för bedömning av överensstäm- melse, som bl.a. kan utfärda europeiska cybersäkerhetscertifikat. I bilagan till förordningen finns närmare bestämmelser med krav på dessa organ, bl.a. om upprätthållande av konfidentialitet och tystnads- plikt. Organen för bedömning av överensstämmelse ska ackrediteras av det nationella ackrediteringsorganet – i Sveriges fall är det Swedac. I fall där ett europeiskt cybersäkerhetscertifikat utfärdas av en natio- nell myndighet för cybersäkerhetscertifiering ska certifieringsorga- net hos den nationella myndigheten för cybersäkerhetscertifiering ackrediteras som organ för bedömning av överensstämmelse.
En europeisk ordning för cybersäkerhetscertifiering kan också ge tillverkare eller leverantörer möjlighet att göra en självbedömning av överensstämmelse. Detta tillåts endast i förhållande till produkter, tjänster och processer där de uppfyllda säkerhetskraven är ställda på en lägre nivå. I förordningen finns bestämmelser om hur detta ska gå till (artikel 53). Där anges också att detta är frivilligt att utfärda, om inte annat anges i unionsrätten eller i medlemsstaternas natio- nella rätt.
347
Bilaga 1 |
SOU 2020:58 |
Utredaren ska därför
•föreslå hur bestämmelserna om kraven på organen för överens- stämmelse ska genomföras,
•analysera om nuvarande sekretessbestämmelser för offentliga organ och bestämmelser om tystnadsplikt för privata aktörer behöver anpassas eller ny lagstiftning föreslås, med anledning av förord- ningens reglering om tystnadsplikt och konfidentialitet hos orga- nen för överensstämmelse, och
•lämna sådana författningsförslag som behövs och är lämpliga.
Frivillighet
Cybersäkerhetscertifieringen ska enligt förordningen vara frivillig, om inte annat anges i unionsrätten eller i medlemsstaternas natio- nella rätt (artikel 56.2). Förordningen ger dock kommissionen i upp- drag att regelbundet bedöma effektiviteten hos och användningen av de antagna europeiska ordningarna för cybersäkerhetscertifiering och huruvida en specifik europeisk ordning för cybersäkerhetscertifier- ing ska göras obligatorisk genom unionsrätten i syfte att säkerställa en adekvat cybersäkerhetsnivå och förbättra den inre marknadens funktion. Den första bedömningen ska göras senast den 31 december 2023, och efterföljande bedömningar ska göras minst en gång vart- annat år. Kommissionen ska sedan på grundval av bedömningen fast- ställa om produkter, tjänster eller processer ska omfattas av en obli- gatorisk certifieringsordning.
Som tidigare nämnts upphör de nationella ordningarna för cyber- säkerhetscertifiering och tillhörande förfaranden att gälla så fort det finns europeiska motsvarigheter. Befintliga certifikat kommer dock att förbli giltiga till dess att de löper ut. Medlemsstaterna förbinder sig också att inte införa nya nationella ordningar, som omfattas av en befintlig europeisk ordning för cybersäkerhetscertifiering, och ska meddela kommissionen och ECCG om alla avsikter att utarbeta nya nationella ordningar för cybersäkerhetscertifiering. Detta regleras i förordningen och kommer att påverka såväl innehavare av befintliga certifikat som de certifieringsorgan som i dag utfärdar certifikat enligt andra ordningar. Verksamheter måste anpassas till det nya systemet,
348
SOU 2020:58 |
Bilaga 1 |
och branschen måste hålla sig uppdaterad om de förslag till euro- peiska ordningar för cybersäkerhetscertifiering som utarbetas.
Utredaren ska därför
•hålla sig uppdaterad om hur arbetet med att utarbeta europeiska ordningar för cybersäkerhetscertifiering fortgår, och
•lämna sådana författningsförslag som behövs och är lämpliga.
Certifiering på den högsta assuransnivån
I Sverige finns i dag vid Försvarets materielverk ett nationellt certi- fieringsorgan för
CCRA och
349
Bilaga 1 |
SOU 2020:58 |
förhandsgodkännande av varje enskilt europeiskt cybersäkerhets- certifikat.
Utredaren ska därför
•föreslå hur certifiering på assuransnivån ”hög” ska genomföras i
Sverige och utreda om detta kan och bör regleras genom författ- ning. Utredaren ska ha som utgångspunkt att CSEC ska ha en roll då det gäller denna typ av certifiering.
Uppdraget att överväga om det bör införas krav på certifiering och godkännande till skydd för Sveriges säkerhet
Särskilda krav på säkerhet måste kunna ställas på nät- och informa- tionssäkerhet för att skydda nationell säkerhet. Åtgärder för att skydda nationell säkerhet faller utanför EU:s kompetens (art. 4.2
Säkerhetsskyddslagen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som om- fattas av ett för Sverige förpliktande internationellt åtagande om säker- hetsskydd (säkerhetskänslig verksamhet). För informationssystem som används i eller har betydelse för säkerhetskänslig verksamhet finns särskilda krav i säkerhetsskyddsförordningen (2018:658). Det rör sig dels om förberedande åtgärder inför driftsättning av sådana informationssystem, dels om säkerhetskrav som kontinuerligt ställs på informationssystemen. Bestämmelserna innehåller även krav på samråd med Säkerhetspolisen eller Försvarsmakten i vissa fall. Detta gäller för informationssystem som kan komma att behandla säkerhets- skyddsklassificerade uppgifter av visst slag och informationssystem där obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig. Bestämmelserna innebär att det är verksamhetsutövaren som ansvarar för att se till att informations- systemen upprätthåller kraven på informationssäkerhet.
Det finns anledning att överväga om ytterligare krav bör införas för att säkerställa att nätverks- och informationssystem som ska an- vändas i säkerhetskänslig verksamhet uppfyller de krav som behövs
350
SOU 2020:58 |
Bilaga 1 |
för att upprätthålla skyddet av sådana verksamheter. En möjlighet kan vara att införa krav på att produkter, tjänster och processer inom nätverks- och informationssystem som ska användas i säkerhetskäns- lig verksamhet ska vara certifierade enligt särskilda certifieringsord- ningar som ställer krav anpassade för användning i säkerhetskänslig verksamhet. En kompletterande eller alternativ möjlighet är att in- föra krav på godkännande från en utpekad myndighet innan en sådan produkt, tjänst eller process tas i drift i säkerhetskänslig verksamhet.
Utredaren ska därför:
•bedöma om det finns anledning att införa särskilda krav på att produkter, tjänster och processer som ingår i ett nätverks- och informationssystem som ska användas i säkerhetskänslig verksam- het, ska vara certifierade enligt särskilda certifieringsordningar ut- formade för säkerhetskänslig verksamhet,
•överväga om det finns anledning att införa krav på godkännande från en myndighet för att sådana produkter, tjänster och pro- cesser ska få tas i drift i viss eller all säkerhetskänslig verksamhet,
•göra en internationell jämförelse av lagstiftning som innebär sär- skilda krav med anledning av nationell säkerhet för produkter, tjänster och processer som ingår i ett nätverks- eller informations- system i länder som utredaren bedömer vara av intresse,
•lämna förslag, förenliga med
•lämna nödvändiga författningsförslag som behövs och är lämpliga.
Utredningen har i denna del att förhålla sig till betänkandet Kom- pletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) som för närvarande bereds i Regeringskansliet.
Övriga frågor
Utredaren är fri att inom de ramar som anges i de allmänna riktlin- jerna ta upp och belysa även andra frågeställningar som är relevanta för uppdraget.
351
Bilaga 1 |
SOU 2020:58 |
Om utredaren kommer fram till att det krävs eller är lämpligt med kompletterande nationella bestämmelser i andra delar ska sådana kunna föreslås.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för det allmänna och för enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska särskilt ange konsekvenserna för företag i form av kostnader och ökade administrativa bördor samt personella konsekvenser för berörda myndigheter.
Utredaren ska även beakta de konsekvenser som förordningens genomförande kan få när det gäller internationell handel med tredje- land och erkännande och utfärdande av certifikat och andra åtagan- den som följer av Sveriges medlemskap i bl.a. CCRA.
Kontakter och redovisning av uppdraget
Utredaren ska hålla Regeringskansliet (Försvarsdepartementet) in- formerat om det löpande arbetet.
Vid genomförandet av uppdraget ska utredaren hålla sig informe- rad om och beakta relevant arbete som bedrivs inom Regerings- kansliet (exempelvis arbetet med betänkandet Kompletteringar till den nya säkerhetsskyddslagen, SOU 2018:82), utredningsväsendet och inom EU. Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, också ha en dialog med och inhämta upplysningar från myndigheter, näringslivet och andra som kan vara berörda av de aktuella frågorna.
Uppdraget ska redovisas i den del som avser anpassningar med anledning av
(Försvarsdepartementet)
352
Bilaga 2
Kommittédirektiv 2020:57
Tilläggsdirektiv till Cybersäkerhetsutredningen (Fö 2019:01)
Beslut vid regeringssammanträde den 14 maj 2020
Förlängd tid för en del av uppdraget
Regeringen beslutade den 31 oktober 2019 kommittédirektiv om att ge en särskild utredare i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser som cybersäkerhetsakten ger anledning till samt att överväga om det finns anledning att införa ytterligare krav för att skydda verksamheter som är av betydelse för Sveriges säkerhet (dir. 2019:73). Enligt direktiven skulle utredaren redovisa den del av uppdraget som avser anpassningar med anledning av cybersäkerhetsakten senast den 1 juni 2020.
Utredningstiden förlängs för en del av uppdraget. Den del av uppdraget som avser anpassningar med anledning av cybersäkerhets- akten ska i stället redovisas senast den 31 augusti 2020.
(Försvarsdepartementet)
353
Bilaga 3
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/15 |
|
|
|
|
|
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2019/881
av den 17 april 2019
om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten)
(Text av betydelse för EES)
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 114,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),
med beaktande av Regionkommitténs yttrande (2),
ienlighet med det ordinarie lagstiftningsförfarandet (3), och
av följande skäl:
(1)Nätverks- och informationssystem samt elektroniska kommunikationsnät och kommunikationstjänster har en avgörande betydelse för samhället och har blivit själva ryggraden för ekonomisk tillväxt. Informations- och kommunikationsteknik (IKT) är grunden för komplexa system som stöder dagliga samhälleliga verksamheter, håller våra ekonomier igång inom viktiga sektorer som hälso- och sjukvård, energi, finans och transporter, och framför allt bidrar till den inre marknadens funktion.
(2)Användningen av nätverks- och informationssystem bland privatpersoner, organisationer och företag i hela unio nen genomsyrar nu hela samhället. Digitalisering och konnektivitet är på väg att bli centrala inslag i ett allt större antal produkter och tjänster, och med tillkomsten av sakernas internet väntas ett extremt högt antal uppkopplade digitala enheter tas i bruk inom unionen under det kommande årtiondet. Trots att allt fler enheter är uppkopplade till internet, är säkerhet och resiliens inte tillräckligt integrerade i konstruktionen, vilket leder till otillräcklig cybersäkerhet. I detta sammanhang leder den begränsade användningen av certifiering till att enskilda användare, organisationsanvändare och företagsanvändare har otillräcklig information om cybersäkerheten hos
(3)Ökad digitalisering och konnektivitet leder till ökade cybersäkerhetsrisker, vilket gör samhället som helhet mer sårbart för cyberhot och ökar farorna för enskilda individer, inbegripet sårbara grupper som barn. För att minska dessa risker måste alla nödvändiga åtgärder vidtas för att stärka cybersäkerheten i unionen så att nätverks- och informationssystem, kommunikationsnät, digitala produkter, tjänster och enheter som används av privatpersoner, organisationer och företag – från små och medelstora företag enligt definitionen i kommissionens rekommenda tion 2003/361/EG (4), till operatörer av kritisk infrastruktur – skyddas bättre mot cyberhot.
|
|
|
(1) |
EUT C 227, 28.6.2018, s. 86. |
|
(2) |
EUT C 176, 23.5.2018, s. 29. |
|
(3) |
Europaparlamentets ståndpunkt av den 12 mars 2019 (ännu ej offentliggjord i EUT) och rådets beslut av den 9 april 2019. |
|
(4) |
Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (EUT L 124, |
|
|
20.5.2003, s. 36). |
|
355
Bilaga 3 |
SOU 2020:58 |
L 151/16 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
(4)Genom att tillgängliggöra relevant information för allmänheten bidrar Europeiska unionens byrå för nät- och informationssäkerhet (Enisa), som inrättats genom Europaparlamentets och rådets förordning (EU) nr 526/2013 (5), till utvecklingen av cybersäkerhetsbranschen i unionen, särskilt små och medelstora företag och nystartade företag. Enisa bör sträva efter ett närmare samarbete med universitet och forskningsenheter för att bidra till en minskning av beroendet av cybersäkerhetsprodukter och
(5)Cyberangreppen ökar och en uppkopplad ekonomi och ett uppkopplat samhälle som är mer utsatta för cyberhot och
(6)Mot bakgrund av de allt större cybersäkerhetsutmaningar som unionen står inför behövs en omfattande uppsätt ning åtgärder som bygger vidare på tidigare unionsåtgärder och främjar mål som stärker varandra inbördes. Dessa mål innefattar att ytterligare öka medlemsstaternas och företagens kapacitet och beredskap samt att förbättra samarbete, informationsutbyte, och samordning mellan medlemsstaterna och unionens institutioner, organ och byråer. Med tanke på cyberhotens gränsöverskridande karaktär finns det dessutom ett behov av att öka kapaciteten på unionsnivå som ett komplement till medlemsstaternas insatser, särskilt när det gäller storskaliga gränsöver skridande incidenter och
(7)Ytterligare insatser behövs också för att öka privatpersoners, organisationers och företagens medvetenhet om cybersäkerhetsfrågor. Dessutom bör, med tanke på att incidenter skadar förtroendet för leverantörerna av digitala tjänster och den digitala marknaden i sig, inte minst bland konsumenter, förtroendet stärkas ytterligare genom att information tillhandahålls på ett transparent sätt om säkerhetsnivån för
(8)Cybersäkerhet är inte bara en fråga kopplad till teknik, utan en fråga där mänskligt beteende är lika viktigt. Därför bör
(9)I syfte att stärka unionens cyberförsvarsstrukturer är det viktigt att underhålla och utveckla medlemsstaternas förmåga att bemöta cyberhot, inbegripet gränsöverskridande incidenter, på ett övergripande sätt.
(10)Företag och enskilda konsumenter bör få korrekt information om säkerhetscertifieringsnivån för deras
(11)Moderna
(5) Europaparlamentets och rådets förordning (EU) nr 526/2013 av den 21 maj 2013 om Europeiska unionens byrå för nät- och informationssäkerhet (Enisa) och om upphävande av förordning (EG) nr 460/2004 (EUT L 165, 18.6.2013, s. 41).
356
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/17 |
|
|
|
|
|
(12)Organisationer, tillverkare och leverantörer som är inblandade i utformningen och utvecklingen av
(13)Företag, organisationer och den offentliga sektorn bör konfigurera
(14)Europaparlamentet och rådets förordning (EG) nr 460/2004 (6) inrättande Enisa med syftet att bidra till målet att säkerställa en hög och effektiv nivå på nätverks- och informationssäkerheten i unionen och utveckla en kultur av nätverks- och informationssäkerhet till förmån för medborgarna, konsumenterna, företagen och den offentliga administrationen. Europaparlamentet och rådets förordning (EG) nr 1007/2008 (7) som förlängde Enisas mandat till mars 2012. Genom Europaparlamentets och rådets förordning (EU) nr 580/2011 (8) förlängdes Enisas mandat ytterligare till den 13 september 2013. Förordning (EU) nr 526/2013 förlängde Enisas mandat till den 19 juni 2020.
(15)Unionen har redan vidtagit viktiga åtgärder för att säkerställa cybersäkerhet och öka förtroendet för digital teknik. År 2013 antogs EU:s strategi för cybersäkerhet för att vägleda EU:s politiska åtgärder för cyberhot och
Enisa fick en viktig roll när det gällde att stödja genomförandet av det direktivet. Dessutom är en effektiv kamp mot
|
|
|
(6) |
Europaparlamentets och rådets förordning (EG) nr 460/2004 av den 10 mars 2004 om inrättandet av den europeiska byrån för nät- |
|
(7) |
och informationssäkerhet (EUT L 77, 13.3.2004, s. 1). |
|
Europaparlamentets och rådets förordning (EG) nr 1007/2008 av den 24 september 2008 om ändring av förordning (EG) |
||
|
nr 460/2004 om inrättandet av den europeiska byrån för nät- och informationssäkerhet i fråga om dess mandatperiod (EUT L 293, |
|
(8) |
31.10.2008, s. 1). |
|
Europaparlamentets och rådets förordning (EU) nr 580/2011 av den 8 juni 2011 om ändring av förordning (EG) nr 460/2004 om |
||
(9) |
inrättandet av den europeiska byrån för nät- och informationssäkerhet vad gäller dess varaktighet (EUT L 165, 24.6.2011, s. 3). |
|
Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i |
||
(10) |
nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1). |
|
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på |
||
|
behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän |
|
(11) |
dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1). |
|
Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd |
||
(12) |
inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37). |
|
Europaparlamentets och rådets direktiv (EU) 2018/1972 av den 11 december 2018 om inrättande av en europeisk kodex för |
||
|
elektronisk kommunikation (EUT L 321, 17.12.2018, s. 36). |
|
357
Bilaga 3 |
SOU 2020:58 |
L 151/18 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
(16)Sedan antagandet av EU:s strategi för cybersäkerhet 2013 och den senaste översynen av Enisas uppdrag, har den övergripande politiska ramen förändrats avsevärt eftersom den globala miljön har blivit mer oviss och mindre säker. Mot denna bakgrund och mot bakgrund av den positiva utvecklingen av Enisas roll till en referenspunkt för rådgivning och expertis, som en kontaktpunkt för samarbete och kapacitetsuppbyggnad, samt inom ramen för unionens nya cybersäkerhetsstrategi är det nödvändigt att se över Enisas mandat för att definiera dess roll i det förändrade cybersäkerhetsekosystemet och säkerställa att Enisa bidrar effektivt till unionens reaktion på cybersä kerhetsutmaningar som härrör från den radikalt förändrade hotbilden inom cyberområdet, för vilket det nuvarande mandatet är inte tillräckligt, vilket också medges i utvärderingen av Enisa.
(17) Enisa som inrättas genom denna förordning bör efterträda Enisa, som inrättades genom förordning (EU) nr 526/2013. Enisa bör utföra de uppgifter som den tilldelas genom den här förordningen och andra unions rättsakter på cybersäkerhetsområdet genom att bland annat tillhandahålla rådgivning och expertis och fungera som unionens informations- och kunskapscentrum. Kommissionen bör främja utbyte av bästa praxis mellan medlems staterna och privata aktörer, lägga fram strategiförslag för kommissionen och medlemsstaterna som kan användas som utgångspunkt för unionens sektorsvisa politiska initiativ när det gäller cybersäkerhet och för att främja praktiskt samarbete både medlemsstaterna emellan och mellan medlemsstaterna och unionens institutioner, organ och byråer.
(18)Inom ramen för beslut 2004/97/EG, Euratom antaget i samförstånd mellan medlemsstaternas företrädare, för samlade på stats- eller regeringschefsnivå (13), beslutade medlemsstaternas företrädare att Enisa skulle ha sitt säte i en stad i Grekland som skulle fastställas av den grekiska regeringen. Enisas värdmedlemsstat bör säkerställa bästa möjliga förutsättningar för en smidig och effektiv drift av Enisa. Det är mycket viktigt att Enisa är förlagd till en lämplig plats, där det bland annat finns lämpliga transportförbindelser och faciliteter för makar och barn som medföljer Enisas personal, för att Enisa ska kunna utföra sina uppgifter väl och effektivt samt för möjligheterna att rekrytera och behålla personal och för en effektivare nätverksverksamhet. De nödvändiga arrangemangen bör efter godkännande av Enisas styrelse fastställas i ett avtal mellan Enisa och värdmedlemsstaten.
(19)Med tanke på de ökande cybersäkerhetsrisker och cybersäkerhetsutmaningar som unionen står inför bör de ekonomiska och personella resurser som anslagits för Enisa ökas för att återspegla dess förstärkta roll och arbets uppgifter och dess centrala position i ekosystemet av organisationer som försvarar unionens digitala ekosystem, så att Enisa effektivt kan utföra de uppgifter som Enisa tilldelas genom denna förordning.
(20)Enisa bör utveckla och underhålla en hög nivå av expertis och fungera som en referenspunkt och skapa förtroende och tillit för den inre marknaden genom sin opartiskhet, kvaliteten på de råd och den information den till handahåller, öppenheten i dess förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter. Enisa bör aktivt stödja nationella ansträngningar och bör aktivt bidra till unionsinsatser och utföra sina uppgifter i fullt samarbete med unionens institutioner, organ och byråer samt med medlemsstaterna, och därigenom undvika dubbelarbete och främja synergier. Enisa bör också stödja sig på synpunkter från och samarbete med den privata sektorn och andra berörda aktörer. Genom en uppsättning uppgifter bör det fastställas hur Enisa ska uppnå sina mål samtidigt som flexibilitet i verksamheten möjliggörs.
(21)För att kunna ge lämpligt stöd till det operativa samarbetet mellan medlemsstaterna bör Enisa ytterligare stärka sin tekniska och mänskliga kapacitet och kompetens. Enisa bör öka sitt kunnande och sin kapacitet. Enisa och medlemsstaterna kan (på frivillig basis) ta fram program för utstationering av nationella experter till Enisa, skapande av expertpooler och utbytesprogram för de anställda.
(22)Enisa bör bistå kommissionen med råd, yttranden och analyser i alla unionsfrågor som rör utveckling, uppdatering och översyn av politik och lagstiftning på cybersäkerhetsområdet och dess sektorsspecifika aspekter för att öka relevansen av unionens politik och lagstiftning med en cybersäkerhetsdimension och möjliggöra konsekvens i genomförandet av denna politik och lagstiftning på nationell nivå. Enisa bör fungera som en referenspunkt för rådgivning och expertis för unionens sektorsspecifika politik och lagstiftningsinitiativ i frågor som rör cybersäker het. Enisa bör regelbundet informera Europaparlamentet om sin verksamhet till.
(13) Beslut 2004/97/EG, Euratom antaget i samförstånd mellan medlemsstaternas företrädare, församlade på stats- eller regeringschefsnivå av den 13 december 2003 om lokaliseringen av sätena för vissa av Europeiska unionens myndigheter och byråer (EUT L 29, 3.2.2004, s. 15).
358
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/19 |
|
|
|
|
|
(23)Den offentliga kärnan av ett öppet internet, nämligen dess huvudsakliga protokoll och infrastruktur utgör globala allmänna nyttigheter, ger internet dess viktiga funktioner som en helhet och underbygger dess normala funktion. Enisa bör stödja säkerheten för den offentliga kärnan av ett öppet internet och stabiliteten för dess funktionssätt och bland annat, men inte begränsat till, nyckelprotokollen (framför allt DNS, BGP och IPv6), driften av domän namnssystemet (till exempel driften av alla toppdomäner) och driften av rotzonen.
(24)Den underliggande uppgiften för Enisa är att främja ett konsekvent genomförande av den gällande rättsliga ramen, i synnerhet ett effektivt genomförande av direktiv (EU) 2016/1148 och andra relevanta rättsliga instrument som avser cybersäkerhetsaspekter, vilket är viktigt för att öka cyberresiliensen. Mot bakgrund av den snabbt föränderliga hotbilden inom cyberområdet på cyberområdet är det uppenbart att medlemsstaterna måste stödjas genom en mer omfattande tvärpolitisk strategi för att bygga upp cyberresiliens.
(25)Enisa bör bistå medlemsstaterna och unionens institutioner, organ och byråer i deras arbete för att bygga upp och förbättra kapacitet och beredskap för att förebygga, upptäcka och reagera på cyberhot och cyberincidenter samt i fråga om säkerhet i nätverks- och informationssystem. Enisa bör särskilt stödja utvecklingen och stärkandet av nationella och unionens enheter för hantering av
(26)Enisa bör också bistå med utveckling och uppdatering av strategier för säkerhet i nätverks- och informationssystem på unionsnivå och, på begäran, på medlemsstatsnivå, särskilt för cybersäkerhet, och bör främja spridningen av sådana strategier och följa upp framstegen med deras genomförande. Enisa bör också bidra till uppfyllandet av behoven av utbildning och utbildningsmaterial, däribland offentliga organs behov, och i lämpliga fall huvud sakligen ”utbilda utbildarna” baserat på den europeiska ramen för utveckling av digital kompetens bland medbor garna, för att bistå medlemsstaterna och unionens institutioner, organ och byråer när de utvecklar sin egen utbildningskapacitet.
(27)Enisa bör stödja medlemsstaterna på området medvetenhet och utbildning om cybersäkerhet genom att främja närmare samarbete och utbyte av bästa praxis bland medlemsstaterna. Sådant stöd skulle bland annat kunna bestå i utveckling av ett nätverk av nationella utbildningskontaktpunkter och utvecklingen av en utbildningsplattform för cybersäkerhet. Nätverket av nationella utbildningskontaktpunkter skulle kunna verka inom ramen för nätverket för nationella kontaktpersoner och vara en startpunkt för framtida samordning inom medlemsstaterna.
(28)Enisa bör bistå den samarbetsgrupp som inrättats genom direktiv (EU) 2016/1148 vid utförandet av dess uppgifter, särskilt genom att tillhandahålla expertis och rådgivning och underlätta utbytet av bästa praxis, bland annat vad gäller medlemsstaternas identifiering av leverantörer av samhällsviktiga tjänster, även i samband med gränsöver skridande beroenden, vad gäller risker och incidenter.
(29)I syfte att stimulera samarbete mellan offentlig och privat sektor samt inom den privata sektorn, särskilt för att stödja skyddet av kritisk infrastruktur, bör Enisa stödja informationsutbyte inom och mellan sektorer, i synnerhet de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148, genom att tillhandahålla bästa praxis och vägledning i fråga om tillgängliga verktyg och förfaranden samt om hur regleringsfrågor som rör informations utbyte ska hanteras, exempelvis genom att underlätta inrättandet av sektorsvisa centrum för informationsutbyte och analys.
(30)De potentiella negativa effekterna av sårbarheter hos
359
Bilaga 3 |
SOU 2020:58 |
L 151/20 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
(31)Enisa bör sammanställa och analysera nationella rapporter som delats på frivillig grund från
(32)Enisa bör bidra till insatser på unionsnivå i samband med storskaliga gränsöverskridande incidenter och
(33)Till stöd för det operativa samarbetet bör Enisa använda tillgänglig teknisk och operativ expertis från
(34)I fullgörandet av sina uppgifter till stöd för det operativa samarbetet inom
(35)Som en del av det löpande samarbetet på teknisk nivå för att stödja en gemensam situationsmedvetenhet i unionen bör Enisa, i nära samarbete med medlemsstaterna, ta fram en regelbunden och fördjupad teknisk
(36)Enisas stöd till tekniska efterhandsundersökningar av incidenter med betydande eller avsevärda konsekvenser som inletts på begäran av de berörda medlemsstaterna bör inriktas på att förhindra framtida incidenter. De berörda medlemsstaterna bör tillhandahålla den information och assistans som behövs för att göra det möjligt för Enisa att på ett ändamålsenligt sätt stödja den tekniska efterhandsundersökningen.
(14) EUT C 12, 13.1.2018, s. 1.
(15) Kommissionens rekommendation (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberinci denter och cyberkriser (EUT L 239, 19.9.2017, s. 36).
360
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/21 |
|
|
|
|
|
(37)Medlemsstaterna får uppmana företag som berörs av incidenten att samarbeta genom att tillhandahålla nödvändig information och assistans till Enisa utan att det påverkar deras rätt att skydda kommersiellt känslig information och information som är relevant för allmän säkerhet.
(38)För att bättre förstå utmaningarna inom cybersäkerhetsområdet, och i syfte att tillhandahålla strategisk långsiktig rådgivning till medlemsstaterna och unionens institutioner, organ och byråer, behöver Enisa analysera nuvarande och framväxande cybersäkerhetsrisker. För detta ändamål bör Enisa i samarbete med medlemsstaterna och, om lämpligt, med statistikorgan och andra organ samla in relevant information som är offentligt tillgänglig eller som delats på frivillig grund och utföra analyser av framväxande teknik och tillhandahålla ämnesspecifika bedömningar om förväntade samhälleliga, rättsliga, ekonomiska och regleringsmässiga konsekvenser av tekniska innovationer inom området nätverks- och informationssäkerhet, i synnerhet cybersäkerhet. Enisa bör också hjälpa medlems staterna och unionens institutioner, organ och byråer att identifiera framväxande cybersäkerhetsrisker och före bygga incidenter, genom att utföra analyser av cyberhot, sårbarheter och incidenter.
(39)För att stärka unionens resiliens bör Enisa utveckla expertis på området cybersäkerhet i infrastrukturer, särskilt inom de sektorer som anges i bilaga II till direktiv (EU) 2016/1148 och de som används av de leverantörer av digitala tjänster som förtecknas i bilaga III till det direktivet genom att tillhandahålla rådgivning, vägledning och bästa praxis. För att säkerställa enklare tillgång till bättre strukturerad information om cybersäkerhetsrisker och möjliga motåtgärder bör Enisa utarbeta och underhålla unionens informationsnav, en gemensam webbportal som förser allmänheten med information om cybersäkerhet från unionens och medlemsstaternas institutioner, organ och byråer. Att underlätta tillgången till bättre strukturerad information om cybersäkerhetsrisker och möjliga motåtgärder skulle också kunna hjälpa medlemsstaterna att stärka sin kapacitet och anpassa sin praxis, och därmed att bättre stå emot cyberattacker i allmänhet.
(40)Enisa bör bidra till att öka allmänhetens medvetenhet om cybersäkerhetsrisker, bland annat genom en
(41)Enisa bör spela en central roll när det gäller att höja slutanvändarnas medvetenhet om enheters säkerhet och säker användning av tjänster, och bör främja inbyggd säkerhet och inbyggt integritetsskydd på unionsnivå. För att uppnå detta mål bör Enisa på lämpligaste sätt använda tillgänglig bästa praxis och erfarenhet, framför allt bästa praxis och erfarenhet från akademiska institutioner och
(42)För att stödja både de företag som verkar inom den europeiska cybersäkerhetssektorn och användarna av cyber säkerhetslösningar bör Enisa utveckla och underhålla ett ”marknadsobservatorium” genom att utföra regelbundna analyser och spridning av information om de viktigaste trenderna på cybersäkerhetsmarknaden, både på tillgångs- och efterfrågesidan.
(43)Enisa bör bidra till unionens insatser för samarbete med internationella organisationer och inom ramarna för relevant internationellt samarbete på cybersäkerhetsområdet. Enisa bör framför allt, där så är lämpligt, bidra till samarbetet med organisationer som OECD, OSSE och Nato. Sådant samarbete kan omfatta gemensamma cyber säkerhetsövningar och gemensam samordning av insatser vid incidenter. Denna verksamhet ska utövas med full respekt för principerna om delaktighet, ömsesidighet och unionens beslutsautonomi, utan att det påverkar den särskilda karaktären hos någon medlemsstats säkerhets- och försvarspolitik.
361
Bilaga 3 |
SOU 2020:58 |
L 151/22 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
(44)För att se till att Enisa fullt ut uppnår sina mål bör den samarbeta med berörda
(45)Samarbete kan upprättas med akademiska institutioner med forskningsinitiativ inom berörda områden och det bör finnas lämpliga kanaler för konsumentorganisationer och andra organisationer att framföra sina synpunkter, vilka bör beaktas.
(46)Enisa bör i sin funktion som sekretariat åt
(47)För att öka unionens beredskap att hantera incidenter bör Enisa regelbundet organisera cybersäkerhetsövningar på unionsnivå och, på deras begäran, bistå medlemsstaterna och unionens institutioner, organ och byråer med att organisera sådana övningar. En gång vartannat år bör en storskalig heltäckande övning med tekniska, operativa och strategiska inslag organiseras. Enisa bör därutöver regelbundet kunna organisera mindre omfattande övningar med samma mål, att öka unionens beredskap att hantera incidenter.
(48)Enisa bör vidareutveckla och underhålla sina kunskaper om cybersäkerhetscertifiering för att stödja unionens politik på detta område. Enisa bör bygga vidare på befintlig bästa praxis och främja spridningen av cybersäkerhets certifiering i unionen, bland annat genom att bidra till inrättandet och underhållandet av ett ramverk för cyber säkerhetscertifiering på unionsnivå (europeiskt ramverk för cybersäkerhetscertifiering), i syfte att öka öppenheten i fråga om assuransnivån för cybersäkerhet hos
(49)Effektiva cybersäkerhetsstrategier bör bygga på välutvecklade metoder för riskbedömning, både inom den offentliga och inom den privata sektorn. Riskbedömningsmetoder används på olika nivåer, men det saknas gemensam praxis för hur de ska tillämpas på ett effektivt sätt. Främjande och utveckling av bästa praxis för riskbedömning och för interoperabla lösningar för riskhantering inom organisationer i den offentliga och privata sektorn kommer att höja cybersäkerhetsnivån i unionen. Därför bör Enisa stödja samarbete mellan intressenter på unionsnivå och främja deras insatser för upprättande och tillämpning av europeiska och internationella standarder för riskhantering och mätbar säkerhet för elektroniska produkter, system, nät och tjänster som tillsammans med programvara utgör nätverks- och informationssystemen.
(50)Enisa bör uppmuntra medlemsstaterna, tillverkare eller leverantörer av
362
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/23 |
|
|
|
|
|
(51)I samarbete med de behöriga myndigheterna bör Enisa kunna sprida uppgifter om cybersäkerhetsnivån för de IKT- produkter,
(52)Enisa bör i sitt arbete fullt ut beakta pågående forskning, utveckling och tekniska bedömningar, i synnerhet sådan verksamhet som bedrivs inom unionens olika forskningsinitiativ för att ge råd till unionens institutioner, organ och byråer och, i tillämpliga fall, till medlemsstaterna på deras begäran om forskningsbehoven och prioriteringarna på området cybersäkerhet. För att identifiera behov och prioriteringar för forskningen bör Enisa även rådfråga berörda användargrupper. Mer specifikt skulle ett samarbete kunna upprättas med Europeiska forskningsrådet, Europeiska institutet för innovation och teknik och Europeiska unionens institut för säkerhetsstudier.
(53)Vid utarbetandet av de europeiska ordningarna för cybersäkerhetscertifiering bör Enisa regelbundet samråda med standardiseringsorganisationerna, i synnerhet de europeiska standardiseringsorganisationerna.
(54)Cyberhot är en global fråga. Det behövs ett tätare internationellt samarbete för att förbättra cybersäkerhetsstan darder, bland annat genom att fastställa gemensamma beteendenormer och anta uppförandekoder, användning av internationella standarder, och informationsutbyte, och på så vis främja snabbare internationellt samarbete som svar på nätverks- och informationssäkerhetsproblem och främja en gemensam global syn på sådana problem. Därför bör Enisa stödja ett starkare unionsdeltagande och samarbete med tredjeländer och internationella organi sationer genom att, när så är lämpligt, tillhandahålla nödvändig expertis och nödvändiga analyser till berörda unionsinstitutioner, organ och byråer.
(55)Enisa bör kunna besvara ad
(56)Det är klokt och tillrådligt att genomföra vissa principer för Enisas förvaltning i syfte att följa det gemensamma uttalande och den gemensamma ansats som den interinstitutionella arbetsgruppen för EU:s decentraliserade byråer enades om i juli 2012 och vars syfte är att effektivisera de decentraliserade byråernas verksamhet och förbättra deras resultat. Rekommendationerna i det gemensamma uttalandet och den gemensamma ansatsen bör också återspeglas, allt efter vad som är lämpligt, i Enisas arbetsprogram, utvärderingar av Enisa och Enisas rapportering och administration.
(57)Styrelsen, som består av företrädare för medlemsstaternas och kommissionens företrädare, bör fastställa den all männa inriktningen för Enisas verksamhet och se till att den utför sina uppgifter i enlighet med denna förordning. Styrelsen bör ha de nödvändiga befogenheterna för att fastställa budgeten och kontrollera att den genomförs, anta lämpliga finansiella bestämmelser, utarbeta klara och tydliga förfaranden för Enisas beslutsfattande, anta Enisas samlade programdokument, anta sin egen arbetsordning, utse den verkställande direktören, besluta om förlängning och avslutande av hans eller hennes mandat.
(58)För att Enisa ska fungera väl och effektivt bör kommissionen och medlemsstaterna säkerställa att personer som utses till styrelseledamöter har lämplig yrkesmässig expertis och erfarenhet. Medlemsstaterna och kommissionen bör även eftersträva att begränsa omsättningen av deras respektive företrädare i styrelsen i syfte att skapa kon tinuitet i dess arbete.
(59)För att Enisa ska fungera väl bör den verkställande direktören utses på grundval av meriter, dokumenterad skicklighet i förvaltning och ledarskap samt kompetens och erfarenheter som rör cybersäkerhet. Den verkställande direktörens uppgifter bör utföras med fullständigt oberoende. Den verkställande direktören bör utarbeta ett förslag till årligt arbetsprogram för Enisa, efter samråd med kommissionen, och bör vidta alla åtgärder som är nödvändiga för att säkerställa att arbetsprogrammet genomförs på rätt sätt. Den verkställande direktören bör utarbeta en årsrapport som ska föreläggas styrelsen, som omfattar genomförandet av Enisas årliga arbetsprogram, upprätta en preliminär beräkning av Enisas inkomster och utgifter samt genomföra budgeten. Den verkställande direktören bör också ha möjlighet att inrätta tillfälliga arbetsgrupper som i synnerhet ska behandla vetenskapliga, tekniska, rättsliga eller socioekonomiska frågor. Inrättandet av en tillfällig arbetsgrupp anses i synnerhet nödvändigt i sam band med att ett särskilt förslag till europeisk ordning för cybersäkerhetscertifiering (nedan kallat förslag till
363
Bilaga 3 |
SOU 2020:58 |
L 151/24 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
certifieringsordning) ska utarbetas. Den verkställande direktören bör se till att de tillfälliga arbetsgruppernas med lemmar väljs med utgångspunkt i högsta möjliga standard när det gäller expertkunskaper, med målsättningen att det bör finnas en balans mellan könen och, utifrån de specifika frågor som berörs, en lämplig balans mellan medlemsstaternas förvaltningar, unionens institutioner, organ och byråer och den privata sektorn, inklusive bran schen, användare och akademiska experter på nätverks- och informationssäkerhet.
(60)Direktionen bör bidra till att styrelsen fungerar på ett effektivt sätt. Som ett led i det förberedande arbetet i samband med styrelsens beslut bör styrelsen i detalj granska relevant information och utforska tillgängliga alter nativ och ge råd och lösningar för att utarbeta beslut av styrelsen.
(61)Enisa bör ha Enisas rådgivande grupp som rådgivande organ, för att säkerställa en regelbunden dialog med den privata sektorn, konsumentorganisationer och andra berörda intressenter. Enisas rådgivande grupp, som inrättats av styrelsen på förslag av den verkställande direktören, bör koncentrera sig på frågor som är relevanta för intressenter och uppmärksamma Enisa på dem. Enisas rådgivande grupp bör särskilt rådfrågas om utkastet till Enisas årliga arbetsprogram. Sammansättning av Enisas rådgivande grupp och de uppgifter som anförtrotts den, bör säkerställa en tillräcklig representation av intressenter i Enisas arbete.
(62)Intressentgruppen för cybersäkerhetscertifiering bör inrättas för att hjälpa Enisa och kommissionen genom att underlätta samråd med berörda intressenter. Intressentgruppen för cybersäkerhetscertifiering bör vara sammansatt av medlemmar som i jämn proportion representerar branschen, såväl på efterfrågesidan som på utbudssidan när det gäller
(63)Enisa bör ha regler för förebyggande och hantering av intressekonflikter. Enisa bör också tillämpa relevanta unionsbestämmelser om allmänhetens tillgång till handlingar enligt Europaparlamentets och rådets förordning (EG) nr 1049/2001 (17). Enisas behandling av personuppgifter bör ske i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1725 (18). Enisa bör efterleva de bestämmelser som gäller för unionens institutioner, organ och byråer och den nationella lagstiftning som rör hantering av information, i synnerhet känsliga icke- säkerhetsskyddsklassificerade uppgifter och säkerhetsskyddsklassificerade
(64)För att garantera Enisas autonomi och oberoende och ge den möjlighet att utföra kompletterande uppgifter, också oförutsedda uppgifter i en krissituation, bör Enisa ges en tillräcklig egen budget där intäkterna främst bör bestå av ett bidrag från unionen och bidrag från tredjeländer som deltar i Enisas arbete. En adekvat budget är av största vikt för att säkerställa att Enisa har tillräcklig kapacitet att fullgöra alla sina växande uppgifter och uppnå sina mål. Huvuddelen av Enisas personal bör vara direkt delaktig i det operativa genomförandet av Enisas mandat. Värd medlemsstaten, eller varje annan medlemsstat, bör ha rätt att lämna frivilliga bidrag till Enisas budget. Unionens budgetförfarande bör även i fortsättningen tillämpas på de bidrag som belastar unionens allmänna budget. Dess utom bör revisionsrätten granska Enisas räkenskaper för att säkerställa insyn och ansvarighet.
(65)Cybersäkerhetscertifiering har stor betydelse för att öka förtroendet för och säkerheten hos
(16) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).
(17) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamen tets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).
(18) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).
364
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/25 |
|
|
|
|
|
(66)I sitt meddelande från 2016 Stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch tog kommissionen upp behovet av billiga och interoperabla cybersäkerhetsprodukter och cybersäkerhetslösningar av hög kvalitet. Utbudet av
(67)För närvarande används cybersäkerhetscertifiering för
(68)Vissa ansträngningar har gjorts för att få till stånd ett ömsesidigt erkännande av certifikat inom unionen. De har dock endast delvis varit framgångsrika. Det främsta exemplet är det avtal om ömsesidigt erkännande (MRA) som ingåtts inom gruppen av höga tjänstemän på informationssäkerhetsområdet
(69)Det är därför nödvändigt att anta en gemensam ansats och att inrätta ett europeiskt ramverk för cybersäkerhets certifiering som fastställer de viktigaste övergripande kraven för europeiska ordningar för cybersäkerhetscertifiering som ska utvecklas, och som gör att europeiska cybersäkerhetscertifikat och en
(70)Den europeiska ramen för cybersäkerhetscertifiering bör inrättas på ett enhetligt sätt i alla medlemsstater i syfte att förhindra certifieringsshopping utifrån skillnader i kravnivå i olika medlemsstater.
(71)De europeiska ordningarna för cybersäkerhetscertifiering bör bygga på vad som redan existerar på internationell och nationell nivå och, om så krävs, på tekniska specifikationer från forum och konsortier, varvid man bör lära av nuvarande styrkor och utvärdera och rätta till svagheter.
(72)Flexibla cybersäkerhetslösningar är nödvändiga för att branschen ska kunna föregripa cyberhot, och därför bör alla certifieringsordningar utformas så att de inte riskerar att snabbt bli föråldrade.
365
Bilaga 3 |
SOU 2020:58 |
L 151/26 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
(73)Kommissionen bör ges befogenhet att anta europeiska ordningar för cybersäkerhetscertifiering för särskilda grupper av
(74)Bestämmelserna i denna förordning bör inte påverka tillämpningen av unionsrätt som innehåller särskilda be stämmelser om certifiering av
(75)Syftet med europeiska ordningar för cybersäkerhetscertifiering bör vara att säkerställa att
(76)De tekniska specifikationer som ska användas i europeiska ordningar för cybersäkerhetscertifiering bör iaktta principerna i bilaga II till Europaparlamentets och rådets förordning (EU) nr 1025/2012 (19). Vissa avvikelser från dessa krav kan dock anses nödvändiga i vederbörligen motiverade fall där dessa tekniska specifikationer ska användas i en europeisk ordning för cybersäkerhetscertifiering med hänvisning till assuransnivån ”hög”. Skälen för dessa avvikelser bör offentliggöras.
(77)En bedömning av överensstämmelse avser det förfarande genom vilket man utvärderar om fastställda krav för en
(78)Valet av lämplig certifiering och därtill knutna säkerhetskrav av användarna av europeiska cybersäkerhetscertifikat bör grundas på en riskanalys som avser risker med användningen av
(19) Europaparlamentets och rådets förordning (EU) nr 1025/2012 av den 25 oktober 2012 om europeisk standardisering och om ändring av rådets direktiv 89/686/EEG och 93/15/EEG samt av Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG och 2009/105/EG samt om upphävande av rådets beslut 87/95/EEG och Europaparlamentets och rådets beslut 1673/2006/EG (EUT L 316, 14.11.2012, s. 12).
366
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/27 |
|
|
|
|
|
(79)Europeiska ordningar för cybersäkerhetscertifiering skulle kunna ge tillverkaren eller leverantören av
(80)Europeiska ordningar för cybersäkerhetscertifiering kan möjliggöra både självbedömning av överensstämmelse och certifiering för
(81)Tillverkare eller leverantörer av
(82)Tillverkaren eller leverantören av
(83)I styrningen av den europeiska ramen för cybersäkerhetscertifiering beaktas medlemsstaternas deltagande och lämpligt deltagande av intressenter, dessutom definieras kommissionens roll under hela processen för planering samt förslag till, begäran om, utarbetande, antagande och översyn av europeiska ordningar för cybersäkerhets certifiering.
(84)Kommissionen bör med stöd av europeiska gruppen för cybersäkerhetscertifiering och intressegruppen för cyber säkerhetscertifiering och efter öppna och omfattande samråd utarbeta ett löpande arbetsprogram på unionsnivå för de europeiska ordningarna för cybersäkerhetscertifiering och bör offentliggöra detta i form av ett instrument som inte är bindande. Unionens löpande arbetsprogram bör vara ett strategidokument som gör det möjligt för framför allt branschen, nationella myndigheter och standardiseringsorgan att förbereda sig inför framtida europeiska ord ningar för cybersäkerhetscertifiering. Unionens löpande arbetsprogram bör inbegripa en flerårig översikt över de förslag till certifieringsordning som kommissionen har för avsikt att uppmana Enisa att utarbeta på specificerade grunder. Kommissionen bör beakta unionens löpande arbetsprogram vid utarbetandet av sin löpande plan för IKT- standardisering och standardiseringsförfrågningar till Europeiska standardiseringsorganisationer. Med tanke på den snabba utvecklingen och spridningen av ny teknik, uppkomsten av nya, tidigare okända cybersäkerhetsrisker samt lagstiftnings- och marknadsutvecklingar bör kommissionen eller europeiska gruppen för cybersäkerhetscertifiering ha rätt att begära att Enisa ska utarbeta förslag till certifieringsordning som inte finns med i unionens löpande arbetsprogram. Kommissionen och europeiska gruppen för cybersäkerhetscertifiering bör i sådana fall också göra en behovsbedömning av en sådan begäran genom att beakta denna förordnings övergripande syften och mål och behovet av att säkerställa kontinuiteten i Enisas planering och resursanvändning.
367
Bilaga 3 |
SOU 2020:58 |
L 151/28 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
Efter mottagandet av en sådan begäran bör Enisa utan onödigt dröjsmål utarbeta förslag till certifieringsordning för särskilda
(85)Enisa bör upprätthålla en webbplats med information om och offentliggörande av europeiska ordningar för cybersäkerhetscertifiering som bör omfatta bland annat begäran om utarbetande av ett förslag till certifierings ordning samt den återkoppling som mottagits i den samrådsprocess som genomförs av Enisa i förberedelsefasen. Denna webbplats bör också tillhandahålla information om de europeiska cybersäkerhetscertifikaten och
(86)Assuransnivån för en europeisk certifieringsordning utgör förtroendegrunden för att en
(87)En europeisk ordning för cybersäkerhetscertifiering kan ha flera utvärderingsnivåer beroende på hur stringent och djupgående utvärderingsmetoden är. Utvärderingsnivåer bör motsvara en av assuransnivåerna och vara kopplad till en lämplig kombination av assuranskomponenter. För samtliga assuransnivåer bör
(88)För assuransnivån ”grundläggande” bör utvärderingen omfatta minst följande assuranskomponenter: I utvär deringen bör det åtminstone ingå en översyn av
(89)För assuransnivån ”betydande” bör utvärderingen, utöver kraven för assuransnivån ”grundläggande”, åtminstone omfatta en kontroll av överensstämmelsen mellan
368
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/29 |
|
|
|
|
|
(90)För assuransnivån ”hög” bör utvärderingen, utöver kraven för assuransnivån ”betydande”, åtminstone omfatta ett effektivitetstest som bedömer resistensen hos
(91)Användningen av europeisk cybersäkerhetscertifiering och
(92)På vissa områden kan det bli nödvändigt att i framtiden införa särskilda krav på cybersäkerhet och göra cyber säkerhetscertifiering obligatorisk för vissa
(93)Europeiska cybersäkerhetscertifikat och
(94)I syfte att uppnå målen för denna förordning och undvika en fragmentering av den inre marknaden, bör nationella ordningar eller förfaranden för cybersäkerhetscertifiering av
(95)Europeiska ordningar för cybersäkerhetscertifiering kommer att bidra till att harmonisera cybersäkerhetsrutinerna inom unionen. De måste bidra till att öka cybersäkerhet inom unionen. Utformningen av europeiska ordningar för cybersäkerhetscertifiering bör även beakta och möjliggöra utveckling av innovationer på området cybersäkerhet.
(20) Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 17.9.2015, s. 1).
(21) Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG (EUT L 94, 28.3.2014, s. 65).
369
Bilaga 3 |
SOU 2020:58 |
L 151/30 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
(96)Europeiska ordningar för cybersäkerhetscertifiering bör även beakta olika befintliga metoder för program- och maskinvaruutveckling och framför allt vilken inverkan frekventa uppdateringar av programvara och fast program vara har på enskilda europeiska cybersäkerhetscertifikat. I de europeiska ordningarna för cybersäkerhetscertifiering bör det fastställas under vilka förhållanden en uppdatering kan kräva att en
(97)När en europeisk ordning för cybersäkerhetscertifiering har antagits bör tillverkarna eller leverantörerna av IKT- produkter,
(98)Hänvisningar i nationell lagstiftning till nationella standarder som har upphört att ha verkan i och med att en europeisk ordning för cybersäkerhetscertifiering har trätt i kraft kan orsaka förvirring. Medlemsstaterna bör därför se till att antagandet av en europeisk ordning för cybersäkerhetscertifiering avspeglas i deras nationella lagstiftning.
(99)För att uppnå likvärdiga standarder över hela unionen, underlätta ömsesidigt erkännande och främja godtagandet av europeiska cybersäkerhetscertifikat och
(100)Utan att det påverkar den ordning för inbördes granskning som ska inrättas vid alla nationella myndigheter för cybersäkerhetscertifiering som omfattas av den europeiska ramen för cybersäkerhetscertifiering kan vissa europeiska ordningar för cybersäkerhetscertifiering innefatta en mekanism för inbördes bedömning för de organ som utfärdar europeiska cybersäkerhetscertifikat för
(101)Medlemsstaterna bör utse en eller flera nationella myndigheter för cybersäkerhetscertifiering som ska övervaka fullgörandet av skyldigheterna enligt denna förordning. En nationell myndighet för cybersäkerhetscertifiering kan vara en redan befintlig myndighet eller en ny myndighet. En medlemsstat bör också kunna fatta beslut, efter överenskommelse med en annan medlemsstat, om att utse en eller flera myndigheter för nationell cybersäkerhets certifiering på den andra medlemsstatens territorium.
(102)Nationella myndigheter för cybersäkerhetscertifiering bör särskilt övervaka och verkställa de skyldigheter som åligger en tillverkare eller en leverantör av
370
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/31 |
|
|
|
|
|
klagomålet gäller och bör underrätta den klagande om utvecklingen och resultatet av utredningen inom rimlig tid. De nationella myndigheterna för cybersäkerhetscertifiering bör dessutom samarbeta med andra nationella myn digheter för cybersäkerhetscertifiering eller någon annan offentlig myndighet, bland annat genom att utbyta infor mation om
(103)För att säkerställa en konsekvent tillämpning av den europeiska ramen för cybersäkerhetscertifiering bör det inrättas en europeisk grupp för cybersäkerhetscertifiering, bestående av företrädare för nationella myndigheter för cybersäkerhetscertifiering eller andra berörda nationella myndigheter. Den europeiska gruppen för cybersäker hetscertifierings främsta uppgifter bör vara att ge kommissionen råd och bistånd i dess arbete för att säkerställa konsekvent genomförande och tillämpning av den europeiska ramen för cybersäkerhetscertifiering, att bistå och ha ett nära samarbete med Enisa i utarbetandet av förslag till ordningar för cybersäkerhetscertifiering, att, i veder börligen motiverade fall begära att Enisa utarbetar ett förslag till certifieringsordning, att anta yttranden till Enisa om förslag till certifieringsordning och att anta yttranden riktade till kommissionen om underhåll och översyn av befintliga europeiska ordningar för cybersäkerhetscertifiering. Den europeiska gruppen för cybersäkerhetscertifiering bör underlätta utbytet av god praxis och expertis mellan de olika nationella myndigheterna för cybersäkerhets certifiering som är ansvariga för bemyndigande av organ för bedömning av överensstämmelse och utfärdande av europeiska cybersäkerhetscertifikat.
(104)För att öka medvetenheten och underlätta acceptansen för framtida europeiska ordningar för cybersäkerhetscerti fiering kan kommissionen utfärda allmänna eller sektorsspecifika cybersäkerhetsriktlinjer, t.ex. vad gäller god praxis för cybersäkerhet eller ansvarsfullt cybersäkerhetsbeteende som belyser de positiva konsekvenserna av att använda certifierade
(105)För att ytterligare underlätta handeln och erkänna att
(106)För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen ges genomförande befogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (22).
(107)Granskningsförfarandet bör användas för antagande av genomförandeakter om europeiska ordningar för cybersä kerhetscertifiering av
(108)Enisas verksamhet bör utvärderas regelbundet och på ett oberoende sätt. Utvärderingen bör beakta Enisas mål uppfyllelse, dess arbetsmetoder och relevansen i dess uppgifter, särskilt dess uppgifter rörande operativt samarbete på unionsnivå. Utvärderingen bör även bedöma konsekvenserna, ändamålsenligheten och effektiviteten i fråga om den europeiska ramen för cybersäkerhetscertifiering. Vid en granskning ska kommissionen utvärdera hur Enisas roll som referenspunkt för råd och expertis kan stärkas och bör även utvärdera hur Enisa möjligen skulle kunna stödja bedömningen av
(22) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).
371
Bilaga 3 |
SOU 2020:58 |
L 151/32 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
(109)Eftersom målen för denna förordning inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, på grund av deras omfattning och verkningar, utan snarare kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen
(110)Förordning (EU) nr 526/2013 bör upphävas.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
AVDELNING I
ALLMÄNNA BESTÄMMELSER
Artikel 1
Syfte och tillämpningsområde
1.I syfte att säkerställa en väl fungerande inre marknad och samtidigt sträva efter att uppnå en hög nivå i fråga om cybersäkerhet, cyberresiliens och förtroende inom unionen, fastställer denna förordning
a)mål, uppgifter och organisatoriska frågor som rör Enisa (Europeiska unionens cybersäkerhetsbyrå), och
b)ett ramverk för inrättandet av europeiska ordningar för cybersäkerhetscertifiering i syfte att säkerställa en tillfredsstäl lande nivå i fråga om cybersäkerhet för
Den ram som avses i första stycket b ska användas utan att det påverkar tillämpningen av särskilda bestämmelser om frivillig eller obligatorisk certifiering i andra unionsrättsakter.
2.Denna förordning påverkar inte medlemsstaternas befogenheter i fråga om verksamhet som berör allmän säkerhet, försvar, nationell säkerhet och statens verksamhet på straffrättens område.
Artikel 2
Definitioner
I denna förordning gäller följande definitioner:
1.cybersäkerhet: all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot.
2.nätverks- och informationssystem: ett nätverks- och informationssystem enligt definitionen i artikel 4.1 i direktiv (EU) 2016/1148.
3.nationell strategi för säkerheten i nätverks- och informationssystem: en nationell strategi för säkerheten i nätverks- och informationssystem enligt definitionen i artikel 4.3 i direktiv (EU) 2016/1148.
4.leverantör av samhällsviktiga tjänster: en leverantör av samhällsviktiga tjänster enligt definitionen i artikel 4.4 i direktiv (EU) 2016/1148.
5.leverantör av digitala tjänster: en leverantör av digitala tjänster enligt definitionen i artikel 4.6 i direktiv (EU) 2016/1148.
6.incident: en incident enligt definitionen i artikel 4.7 i direktiv (EU) 2016/1148.
7.incidenthantering: incidenthantering enligt definitionen i artikel 4.8 i direktiv (EU) 2016/1148.
372
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/33 |
|
|
|
|
|
8.cyberhot: en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka nätverks- och informationssystem, användare dessa system och andra personer.
9.europeisk ordning för cybersäkerhetscertifiering: en vittomfattande uppsättning regler, tekniska krav, standarder och för faranden som fastställs på unionsnivå och som tillämpas på certifiering eller bedömning av överensstämmelse av särskilda
10.nationell ordning för cybersäkerhetscertifiering: en komplett uppsättning regler, tekniska krav, standarder och förfaranden som utvecklas och antas av en nationell offentlig myndighet och som tillämpas vid certifiering eller vid bedömning av överensstämmelse av
11.europeiskt cybersäkerhetscertifikat: ett dokument, utfärdat av behörigt organ, som intygar att en viss
12.
13.
14.
15.ackreditering: ackreditering enligt definitionen i artikel 2.10 i förordning (EG) nr 765/2008.
16. nationellt ackrediteringsorgan: ett nationellt ackrediteringsorgan enligt definitionen i artikel 2.11 i förordning (EG) nr 765/2008.
17.bedömning av överensstämmelse: bedömning av överensstämmelse enligt definitionen i artikel 2.12 i förordning (EG) nr 765/2008.
18.organ för bedömning av överensstämmelse: organ för bedömning av överensstämmelse enligt definitionen i artikel 2.13 i förordning (EG) nr 765/2008.
19.standard: en standard enligt definitionen i artikel 2.1 i förordning (EU) nr 1025/2012.
20.teknisk specifikation: ett dokument som anger de tekniska krav som ska uppfyllas av, eller vilka förfaranden för bedömning av överensstämmelse som gäller för en
21.assuransnivå: förtroendegrund för att en
22.egenkontroll av överensstämmelse: en åtgärd som genomförs av en tillverkare eller en leverantör av
373
Bilaga 3 |
SOU 2020:58 |
L 151/34 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
AVDELNING II
ENISA (EUROPEISKA UNIONENS CYBERSÄKERHETSBYRÅ)
KAPITEL I
Mandat och mål
Artikel 3
Mandat
1.Enisa ska utföra de uppgifter som den tilldelas genom denna förordning i syfte att uppnå en hög gemensam nivå i fråga om cybersäkerhet i hela unionen, bland annat genom att aktivt stödja medlemsstaterna, unionens institutioner, organ och byråer i arbetet med att förbättra cybersäkerheten. Enisa ska fungera som en referenspunkt för rådgivning och expertis i fråga om cybersäkerhet för unionens institutioner, organ och byråer samt för andra berörda unionsaktörer.
Genom att utföra de uppgifter den anförtrotts enligt denna förordning ska Enisa bidra till att minska fragmenteringen på den inre marknaden.
2.Enisa ska utföra de uppgifter som den tilldelas genom unionsrättsakter som fastställer åtgärder för tillnärmning av medlemsstatens lagar och andra författningar som rör cybersäkerhet.
3.Vid utförandet av sina uppgifter ska Enisa agera självständigt och samtidigt undvika dubbelarbete i förhållande till medlemsstatens verksamhet och ta hänsyn till medlemsstatens befintliga expertis.
4.Enisa ska ta fram sina egna nödvändiga resurser, däribland teknisk och mänsklig kapacitet och kompetens, för att utföra de uppgifter som den tilldelas enligt denna förordning.
Artikel 4
Mål
1.Enisa ska vara ett expertcentrum inom området cybersäkerhet genom sitt oberoende, den vetenskapliga och tekniska kvaliteten på de råd, den assistans och den information den tillhandahåller, öppenheten i dess operativa förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter.
2.Enisa ska bistå unionens institutioner, organ och byråer, samt medlemsstaterna, med utarbetande och genomförande av unionens politiska åtgärder som rör cybersäkerhet, inbegripet sektorspolitik på cybersäkerhetsområdet.
3.Enisa ska stödja kapacitetsuppbyggnad och beredskap i hela unionen genom att bistå unionens institutioner, organ och byråer, liksom medlemsstaterna och offentliga och privata intressenter i syfte att öka skyddet av deras nätverks- och informationssystem, utveckla och förbättra cyberresiliens och insatskapacitet samt utveckla färdigheter och kompetens inom området cybersäkerhet.
4.Enisa ska främja samarbete, däribland informationsutbyte, och samordning på unionsnivå mellan medlemsstater, unionens institutioner, organ och byråer samt berörda privata och offentliga intressenter i frågor som rör cybersäkerhet.
5.Enisa ska bidra till att öka cybersäkerhetskapaciteten på unionsnivå i syfte att stödja medlemsstaternas åtgärder för att förebygga och vidta åtgärder mot cyberhot, särskilt vid gränsöverskridande incidenter.
6.Enisa ska främja användningen av europeisk cybersäkerhetscertifiering, i syfte att undvika en fragmentering av den inre marknaden. Enisa ska bidra till inrättandet och underhållandet av ett europeiskt ramverk för cybersäkerhetscertifiering
ienlighet med avdelning III i denna förordning, i syfte att öka transparensen i fråga om cybersäkerhet hos
7.Enisa ska främja en hög nivå av medvetenhet om cybersäkerhet, inklusive
374
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/35 |
|
|
|
|
|
KAPITEL II
Uppgifter
Artikel 5
Utarbetande och genomförande av unionens politik och lagstiftning
Enisa ska bidra till utarbetandet och genomförandet av unionens politik och lagstiftning genom att
1.bistå och ge råd i fråga om utarbetande och översyn av unionens politik och lagstiftning inom området cybersäkerhet och i fråga om sektorsspecifika strategier och lagförslag där frågor som rör cybersäkerhet ingår, särskilt genom att tillhandahålla oberoende yttranden och analyser samt förberedande arbete,
2.hjälpa medlemsstaterna att på ett konsekvent sätt genomföra unionens politik och lagstiftning som rör cybersäkerhet, i synnerhet vad gäller direktiv (EU) 2016/1148, bland annat genom yttranden, riktlinjer, råd och bästa praxis i frågor såsom riskhantering, incidentrapportering och informationsutbyte, samt genom att underlätta utbytet av bästa praxis mellan behöriga myndigheter i detta avseende,
3.hjälpa medlemsstater och unionens institutioner, organ och byråer med att utveckla och främja politik på cybersä kerhetsområdet som rör underhållandet av den allmänna tillgängligheten till eller integriteten för den offentliga kärnan av ett öppet internet,
4.bidra till arbetet i samarbetsgruppen enligt artikel 11 i direktiv (EU) 2016/1148 genom att tillhandahålla expertis och bistånd,
5.stödja
a)utarbetandet och genomförandet av unionens politik inom området elektronisk identitet och betrodda tjänster, i synnerhet genom att tillhandahålla råd och utfärda tekniska riktlinjer, samt genom att underlätta utbytet av bästa praxis mellan behöriga myndigheter,
b)främjandet av en högre säkerhetsnivå för elektronisk kommunikation, bland annat genom att tillhandahålla råd och expertis, samt genom att underlätta utbytet av bästa praxis mellan behöriga myndigheter,
c)medlemsstater vid genomförandet av specifika cybersäkerhetsaspekter av unionspolitik och lagstiftning som rör integritets- och personuppgiftsskydd, inbegripet genom att, på begäran, tillhandahålla rådgivning till Europeiska dataskyddsstyrelsen,
6.stödja den regelbundna översynen av unionens politiska verksamhet genom att utarbeta en årlig rapport om hur genomförandet av respektive rättsliga ramar framskrider avseende
a)information om medlemsstaternas incidentrapporter som överlämnas av de gemensamma kontaktpunkterna till samarbetsgruppen enligt artikel 10.3 i direktiv (EU) 2016/1148,
b)sammanfattningar av anmälningar om säkerhetsöverträdelser eller integritetsförlust som erhållits från leverantörerna av betrodda tjänster, som överlämnas av tillsynsorganen till Enisa, enligt artikel 19.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 (23),
c)anmälningar om säkerhetsincidenter som överlämnats av tillhandahållare av allmänna elektroniska kommunika tionsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster, som överlämnas av de behöriga myn digheterna till Enisa, enligt artikel 40 i direktiv (EU) 2018/1972.
(23) Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EUT L 257, 28.8.2014, s. 73).
375
Bilaga 3 |
SOU 2020:58 |
L 151/36 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
Artikel 6
Kapacitetsuppbyggnad
1.Enisa ska bistå
a)medlemsstaterna i deras ansträngningar för att förbättra förebyggandet, upptäckten och analysen av, samt kapaciteten att reagera på, cyberhot och cyberincidenter genom att förse dem med kunskaper och nödvändig expertis,
b)medlemsstaterna och unionens institutioner, organ och byråer med att fastställa och genomföra frivilliga riktlinjer för offentliggörande av sårbarheter,
c)unionens institutioner, organ och byråer, i deras ansträngningar för att förbättra förebyggandet, upptäckten och analysen av cyberhot och cyberincidenter, samt förbättra kapaciteten att reagera på sådana cyberhot och cyberinci denter, särskilt genom lämpligt stöd för
d)medlemsstaterna, på deras begäran, med inrättandet av nationella
e)medlemsstaterna, på deras begäran, med utarbetandet av nationella strategier för säkerhet i nätverks- och informations system, enligt artikel 7.2 i direktiv (EU) 2016/1148, och främja spridning av dessa strategier och notera framstegen med genomförandet av dessa i hela unionen i syfte att främja bästa praxis,
f)unionens institutioner med utarbetandet och översynen av unionens strategier avseende cybersäkerhet och därvid främja deras spridning och övervaka framstegen i genomförandet av dem,
g)nationella
h)medlemsstaterna genom att organisera regelbundna cybersäkerhetsövningar på unionsnivå enligt artikel 7.5 i vart fall vartannat år och genom att avge policyrekommendationer som grundar sig på utvärderingar av övningarna och på lärdomar som dragits av dem,
i)behöriga offentliga organ genom att erbjuda utbildning om cybersäkerhet, om lämpligt i samarbete med intressenter,
j)samarbetsgruppen, med att utbyta bästa praxis, i synnerhet för medlemsstaternas identifiering av leverantörer av samhällsviktiga tjänster, enligt artikel 11.3 l i direktiv (EU) 2016/1148, inklusive vid gränsöverskridande beroenden, vad gäller risker och incidenter.
2.Enisa ska stödja informationsutbyte inom och mellan sektorer, i synnerhet i de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148, genom att tillhandahålla bästa praxis och vägledning i fråga om tillgängliga verktyg, om förfaranden samt om hur regleringsfrågor som rör informationsutbyte ska hanteras.
Artikel 7
Operativt samarbete på unionsnivå
1.Enisa ska stödja operativt samarbete mellan medlemsstaterna, unionens institutioner, organ och byråer och mellan intressenter.
2.Enisa ska samarbeta på operativ nivå och skapa synergier med unionens institutioner, organ och byråer, inbegripet
a)utbyte av sakkunskap och bästa praxis,
b)tillhandahållande av råd och utfärdande av riktlinjer om relevanta frågor som rör cybersäkerhet,
376
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/37 |
|
|
|
|
|
c) inrättande av praktiska arrangemang för utförande av särskilda uppgifter, efter samråd med kommissionen.
3.Enisa ska tillhandahålla sekretariatet för
4.Enisa ska stödja medlemsstaterna i det operativa samarbetet inom
a)ge råd om hur de kan förbättra sin kapacitet att förebygga, upptäcka och reagera på incidenter, och på begäran från en eller flera medlemsstater, tillhandahålla rådgivning avseende ett specifikt cyberhot,
b)på begäran från en eller flera medlemsstater bistå vid bedömningen av incidenter som har en betydande eller avsevärd inverkan genom att tillhandahålla expertis och underlätta den tekniska hanteringen av sådana incidenter, bland annat särskilt genom att stödja frivilligt utbyte av relevant information och tekniska lösningar mellan medlemsstaterna,
c)analysera sårbarheter och incidenter på grundval av allmänt tillgänglig information eller information som medlems staterna på frivillig basis tillhandahållit för det ändamålet, och
d)på begäran från en eller flera medlemsstater, ge stöd till tekniska efterhandsundersökningar av incidenter som har en betydande eller avsevärd inverkan i den mening som avses i direktiv (EU) 2016/1148.
Vid fullgörandet av dessa uppgifter ska Enisa och
5.Enisa ska organisera regelbundna cybersäkerhetsövningar på unionsnivå och bistå medlemsstater och unionens institutioner, organ och byråer med att organisera cybersäkerhetsövningar på deras begäran. Sådana cybersäkerhets övningar på unionsnivå får innehålla tekniska, operativa och strategiska element. En gång vartannat år ska Enisa organisera en storskalig heltäckande övning.
När det är lämpligt ska Enisa också bidra till och hjälpa till att organisera sektorsvisa cybersäkerhetsövningar tillsammans med berörda organisationer som även deltar i cybersäkerhetsövningar på unionsnivå.
6.Enisa ska, i nära samarbete med medlemsstaterna, regelbundet utarbeta en djupgående teknisk lägesrapport om cybersäkerheten i EU om incidenter och cyberhot på grundval av offentligt tillgänglig information, egna analyser och rapporter som den får från bland andra medlemsstaternas
7.Enisa ska bidra till att utveckla en samarbetsinriktad respons, på unions- och medlemsstatsnivå, för att hantera storskaliga gränsöverskridande incidenter eller kriser som rör cybersäkerhet, främst genom att
a)sammanställa och analysera rapporter från nationella källor som är allmänt tillgängliga eller har delats på frivillig grund i syfte att bidra till att skapa en gemensam situationsmedvetenhet,
b)säkerställa ett effektivt informationsflöde och tillhandahålla mekanismer för eskalering mellan
c)på begäran underlätta den tekniska hanteringen av sådana incidenter eller kriser, däribland särskilt genom att stödja frivilligt utbyte av tekniska lösningar mellan medlemsstaterna,
d)stödja unionens institutioner, organ och byråer och, på deras begäran, medlemsstater i den offentliga kommunika tionen om sådana incidenter eller kriser,
377
Bilaga 3 |
SOU 2020:58 |
L 151/38 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
e)testa samarbetsplanerna för hantering av sådana incidenter eller kriser på unionsnivå och på deras begäran stödja medlemsstaterna med att testa sådana planer på nationell nivå.
Artikel 8
Marknad, cybersäkerhetscertifiering och standardisering
1.Enisa ska stödja och främja utvecklingen och genomförandet av unionens politik för cybersäkerhetscertifiering av
a)fortlöpande övervaka utvecklingen i fråga om standardisering inom anknutna områden och rekommendera lämpliga tekniska specifikationer för användning vid utveckling av de europeiska ordningarna för cybersäkerhetscertifiering enligt artikel 54.1 c där standarder inte finns tillgängliga,
b)utarbeta förslag till europeiska ordningar för cybersäkerhetscertifiering (nedan kallade förslag till certifieringsordning) för
c)utvärdera antagna europeiska ordningar för cybersäkerhetscertifiering i enlighet med artikel 49.8,
d)delta i sakkunnigbedömningar enligt artikel 59.4,
e)bistå kommissionen med att tillhandahålla sekretariatet för europeiska gruppen för cybersäkerhetscertifiering i enlighet med artikel 62.5.
2.Enisa ska tillhandahålla sekretariatet för europeiska gruppen för cybersäkerhetscertifiering i enlighet med arti kel 22.4.
3.Enisa ska sammanställa och offentliggöra riktlinjer och utveckla god praxis, däribland om principer om
4.Enisa ska bidra till kapacitetsuppbyggnad i samband med utvärderings- och certifieringsprocesser genom att sam manställa och utfärda riktlinjer samt ge stöd till medlemsstaterna på deras begäran.
5.Enisa ska underlätta upprättandet och tillämpningen av europeiska och internationella standarder för riskhantering och för säkerheten hos
6.Enisa ska, i samarbete med medlemsstaterna och branschen, utarbeta råd och riktlinjer avseende de tekniska områden som har en koppling till säkerhetskraven för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster, samt avseende redan befintliga standarder, inbegripet medlemsstaternas nationella standarder, i enlighet med artikel 19.2 i direktiv (EU) 2016/1148.
7.Enisa ska genomföra och sprida regelbundna analyser av de viktigaste trenderna på marknaden för cybersäkerhet på både efterfråge- och utbudssidan, i syfte att främja marknaden för cybersäkerhet i unionen.
Artikel 9
Kunskap och information
Enisa ska
a)genomföra analyser av framväxande teknik och tillhandahålla ämnesspecifika bedömningar om tekniska innovationers förväntade samhälleliga, rättsliga, ekonomiska och regleringsrelaterade konsekvenser för cybersäkerhet,
b)genomföra långsiktiga strategiska analyser av cyberhot och cybersäkerhetsincidenter i syfte att identifiera framväxande trender och bidra till att förebygga incidenter,
378
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/39 |
|
|
|
|
|
c)i samarbete med experter från medlemsstaternas myndigheter och berörda intressenter tillhandahålla råd, vägledning och bästa praxis avseende säkerheten i nätverks- och informationssystem, i synnerhet avseende säkerheten hos de infrastrukturer som understödjer de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148 och de som används av de leverantörer av digitala tjänster som förtecknas i bilaga III i det direktivet,
d)via en särskild portal samla, organisera och för allmänheten tillgängliggöra information om cybersäkerhet som till handahålls av unionens institutioner, byråer och organ och information om cybersäkerhet som tillhandahålls på frivillig grund av medlemsstaterna samt privata och offentliga intressenter,
e)samla in och analysera allmänt tillgänglig information om betydande incidenter och sammanställa rapporter i syfte att ge vägledning till privatpersoner, organisationer och företag i hela unionen.
Artikel 10
Medvetandehöjande åtgärder och utbildning
Enisa ska
a)öka allmänhetens medvetenhet om cybersäkerhetsrisker och ge vägledning om god praxis för enskilda användare, som är inriktad på privatpersoner, organisationer och företag, inklusive
b)i samarbete med medlemsstaterna, unionens institutioner, organ, byråer och branschen organisera regelbundna infor mationskampanjer för att öka cybersäkerheten och dess synlighet i unionen och främja en bred offentlig debatt,
c)bistå medlemsstaterna i deras insatser för att öka medvetenheten om cybersäkerhet och främja utbildning i cybersä kerhet,
d)främja närmare samordning och utbyte av bästa praxis mellan medlemsstaterna vad gäller cybersäkerhetsutbildning och cybersäkerhetsmedvetenhet.
Artikel 11
Forskning och innovation
När det gäller forskning och innovation ska Enisa
a)ge råd till unionens institutioner, organ och byråer och medlemsstaterna om forskningsbehov och forskningspriori teringar inom området cybersäkerhet, för att möjliggöra ett effektivt svar på befintliga och nya risker och cyberhot, bland annat när det gäller ny och framväxande informations- och kommunikationsteknik, och för att säkerställa en effektiv användning av riskförebyggande teknik,
b)delta, om kommissionen har delegerat relevanta befogenheter till den, i genomförandefasen av finansieringsprogram för forskning och innovation, eller som stödmottagare.
c)bidra till en strategisk forsknings- och innovationsagenda på unionsnivå inom området cybersäkerhet.
Artikel 12
Internationellt samarbete
Enisa ska bidra till unionens insatser för att samarbeta med tredjeländer och internationella organisationer samt inom ramarna för relevant internationellt samarbete för att främja internationellt samarbete i frågor som rör cybersäkerhet, genom att
a)om lämpligt delta som observatör i anordnandet av internationella övningar samt analysera och rapportera till styrelsen om resultaten av sådana övningar,
b)på begäran från kommissionen underlätta utbyte av bästa praxis,
379
Bilaga 3 |
SOU 2020:58 |
L 151/40 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
c)på begäran från kommissionen tillhandahålla den expertis,
d)tillhandahålla rådgivning och stöd till kommissionen i frågor som rör avtal om ömsesidigt erkännande av cybersä kerhetscertifikat med tredjeländer i samarbete med den europeiska gruppen för cybersäkerhetscertifiering som inrättats enligt artikel 62.
KAPITEL III
Enisas organisation
Artikel 13
Enisas struktur
Enisas förvaltnings- och ledningsstruktur ska bestå av
a)en styrelse,
b)en direktion,
c)en verkställande direktör,
d)Enisas rådgivande grupp,
e)ett nätverk för nationella kontaktpersoner.
A v s n i t t 1
S t y r e l s e
Artikel 14
Styrelsens sammansättning
1.Styrelsen ska bestå av en ledamot som utses av varje medlemsstat och två ledamöter som utses av kommissionen. Samtliga ledamöter ska ha rösträtt.
2.Varje ledamot av styrelsen ska ha en suppleant. Den suppleanten ska företräda ledamoten i ledamotens frånvaro.
3.Styrelseledamöterna och deras suppleanter ska utses mot bakgrund av deras kunskaper inom området cybersäkerhet, med hänsyn till relevanta färdigheter i fråga om ledarskap, administration och budget. Kommissionen och medlems staterna ska bemöda sig om att begränsa omsättningen av sina företrädare i styrelsen för att säkerställa kontinuitet i styrelsens arbete. Kommissionen och medlemsstaterna ska sträva efter att uppnå en jämn könsfördelning i styrelsen.
4.Mandatperioden för styrelsens ledamöter och deras suppleanter ska vara fyra år. Mandatperioden får förnyas.
Artikel 15
Styrelsens uppgifter
1.Styrelsen ska göra följande:
a)Fastställa de allmänna riktlinjerna för Enisas arbete och även se till att Enisa agerar i enlighet med de regler och principer som fastställs i denna förordning; den ska även se till att Enisas arbete överensstämmer med det arbete som utförs av medlemsstaterna och på unionsnivå.
b)Anta Enisas utkast till samlat programdokument som avses i artikel 24 innan det överlämnas till kommissionen för yttrande.
380
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/41 |
|
|
|
|
|
c)Anta Enisas samlade programdokument, med beaktande av kommissionens yttrande
d)Övervaka genomförandet av den fleråriga och årliga programplaneringen som ingår i det samlade programdokumen tet.
e)Anta Enisas årsbudget och utföra andra uppgifter rörande Enisas budget i enlighet med kapitel IV.
f)Bedöma och anta den konsoliderade årliga rapporten om Enisas verksamhet, inklusive räkenskaperna och en be skrivning av hur Enisa har uppnått sina resultatindikatorer, senast den 1 juli följande år sända både den årliga rapporten och bedömningen av denna till Europaparlamentet, rådet, kommissionen och revisionsrätten samt offent liggöra den årliga rapporten.
g)Anta de finansiella regler som ska tillämpas på Enisa i enlighet med artikel 32.
h)Anta en bedrägeribekämpningsstrategi som står i proportion till bedrägeririskerna med beaktande av en kostnads– nyttoanalys av de åtgärder som ska genomföras.
i)Anta regler för att förebygga och hantera intressekonflikter bland ledamöterna.
j)Säkerställa lämplig uppföljning av slutsatserna och rekommendationerna från utredningar som genomförs av Euro peiska byrån för bedrägeribekämpning (Olaf) och från olika interna eller externa revisionsrapporter och utvärderingar.
k)Anta sin arbetsordning, inbegripet regler för interimistiska beslut om delegeringen av särskilda uppgifter enligt artikel 19.7.
l)Med avseende på Enisas personal, utöva de befogenheter som i tjänsteföreskrifterna för tjänstemän (nedan kallade tjänsteföreskrifterna) och i anställningsvillkoren för övriga anställda i Europeiska unionen (nedan kallade anställnings villkoren), som fastställs i rådets förordning (EEC, Euratom, EKSG) nr 259/68 (24), tilldelas tillsättningsmyndigheten och den myndighet som har befogenhet att sluta anställningsavtal (nedan kallade befogenheter som tillsättningsmyndighet) i enlighet med punkt 2 i denna artikel.
m)Anta genomförandebestämmelser till tjänsteföreskrifterna och anställningsvillkoren i enlighet med förfarandet i ar tikel 110 i tjänsteföreskrifterna.
n)Utse den verkställande direktören och i förekommande fall förlänga dennes mandatperiod eller avsätta honom eller henne i enlighet med artikel 36.
o)Utse en räkenskapsförare, som kan vara kommissionens räkenskapsförare, som ska vara helt oberoende i sin tjäns teutövning.
p)Fatta alla beslut som rör inrättandet av Enisas interna strukturer och, vid behov, ändringar av dessa interna strukturer, med beaktande av Enisas verksamhetsbehov och en sund budgetförvaltning.
q)Godkänna fastställandet av samarbetsavtal med avseende på artikel 7.
r)Godkänna fastställandet eller ingåendet av samarbetsavtal i enlighet med artikel 42.
2.Styrelsen ska, i enlighet med artikel 110 i tjänsteföreskrifterna, anta ett beslut grundat på artikel 2.1 i tjänstefö reskrifterna och artikel 6 i anställningsvillkoren för övriga anställda om att delegera relevanta befogenheter som tillsätt ningsmyndighet till den verkställande direktören och fastställa på vilka villkor denna delegering av befogenheter kan dras in. Den verkställande direktören får vidaredelegera dessa befogenheter.
(24) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänste männen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).
381
Bilaga 3 |
SOU 2020:58 |
L 151/42 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
3.Vid exceptionella omständigheter får styrelsen anta ett beslut om att tillfälligt dra in delegeringen till den verkstäl lande direktören av befogenheterna som tillsättningsmyndighet samt de befogenheter som tillsättningsmyndighet som den verkställande direktören vidaredelegerat, och i stället utöva dem själv eller delegera dem till en av sina ledamöter eller till någon annan anställd än den verkställande direktören.
Artikel 16
Styrelsens ordförande
Styrelsen ska välja en ordförande och en vice ordförande bland sina ledamöter, med två tredjedelars majoritet av ledamöterna. Deras mandatperiod ska vara fyra år, som får förnyas en gång. Om deras uppdrag som styrelseledamot upphör någon gång under deras mandatperiod upphör deras mandatperiod automatiskt vid denna tidpunkt. Vice ordfö randen ska inträda i ordförandens ställe om ordföranden inte kan fullgöra sina plikter.
Artikel 17
Styrelsens sammanträden
1.Styrelsens sammanträden ska sammankallas av dess ordförande.
2.Styrelsen ska hålla minst två ordinarie sammanträden per år. Den ska också hålla extra sammanträden på ordfö randens begäran, på kommissionens begäran eller på begäran av minst en tredjedel av ledamöterna.
3.Den verkställande direktören ska delta i styrelsesammanträdena, men ska inte ha rösträtt.
4.Ledamöterna i Enisas rådgivande grupp får på inbjudan av ordföranden delta i styrelsens sammanträden, men ska inte ha rösträtt.
5.Styrelseledamöterna och deras suppleanter får, med förbehåll för styrelsens arbetsordning, låta sig biträdas av rådgivare eller experter vid styrelsens sammanträden.
6.Enisa ska tillhandahålla sekretariatet för styrelsen.
Artikel 18
Omröstningsbestämmelser för styrelsen
1.Styrelsen ska fatta beslut med en majoritet av sina ledamöter.
2.En majoritet med två tredjedelar av styrelsens ledamöter ska krävas för att anta det samlade programdokumentet och den årliga budgeten samt för utnämning av, förlängning av mandatet för eller avsättning av den verkställande direktören.
3.Varje ledamot ska ha en röst. I en ledamots frånvaro ska suppleanten ha rätt att utöva ledamotens rösträtt.
4.Styrelsens ordförande ska delta i omröstningen.
5.Den verkställande direktören ska inte delta i omröstningen.
6.Närmare bestämmelser om röstningsförfarandena, i synnerhet på vilka villkor en ledamot får agera på en annan ledamots vägnar, ska fastställas i styrelsens arbetsordning.
382
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/43 |
|
|
|
|
|
A v s n i t t 2
D i r e k t i o n
Artikel 19
Direktion
1.Styrelsen ska bistås av en direktion.
2.Direktionen ska
a)förbereda beslut som ska antas av styrelsen,
b)tillsammans med styrelsen säkerställa lämplig uppföljning av slutsatserna och rekommendationerna från utredningar som utförts av Europeiska byrån för bedrägeribekämpning (Olaf) och från olika interna eller externa revisionsrapporter och utvärderingar,
c)utan att det påverkar den verkställande direktörens ansvar enligt artikel 20 bistå och ge råd till den verkställande
direktören vid genomförandet av styrelsens beslut i frågor som rör administration och budget enligt artikel 20.
3.Direktionen ska bestå av fem ledamöter. Ledamöterna i direktionen ska utses bland styrelseledamöterna. En av ledamöterna ska vara styrelsens ordförande, som även kan vara direktionens ordförande, och en annan ska vara en av kommissionens företrädare. Utnämningarna av ledamöter i direktionen ska syfta till att uppnå en jämn könsfördelning i direktionen. Den verkställande direktören ska delta i direktionens sammanträden, men ska inte ha rösträtt.
4.Mandatperioden för ledamöterna i direktionen ska vara fyra år. Mandatperioden får förnyas.
5.Direktionen ska sammanträda minst var tredje månad. Direktionens ordförande ska sammankalla extra samman träden på begäran av direktionens ledamöter.
6.Direktionens arbetsordning ska fastställas av styrelsen.
7.Vid behov får direktionen, i brådskande fall, fatta vissa interimistiska beslut på styrelsens vägnar, särskilt i frågor som rör den administrativa ledningen, inklusive om indragning av delegeringen av befogenheterna som tillsättnings myndighet och budgetfrågor. Sådana interimistiska beslut ska utan onödigt dröjsmål meddelas styrelsen. Styrelsen ska besluta huruvida det interimistiska beslutet ska godkännas eller avslås senast tre månader efter att beslutet fattades. Direktionen ska inte fatta beslut för styrelsens räkning som kräver godkännande av en majoritet med två tredjedelar av styrelsens ledamöter.
A v s n i t t 3
V e r k s t ä l l a n d e d i r e k t ö r
Artikel 20
Den verkställande direktörens ansvarsområden
1.Enisa ska ledas av den verkställande direktören, som ska vara oberoende i sin tjänsteutövning. Den verkställande direktören ska vara ansvarig inför styrelsen.
2.Den verkställande direktören ska på begäran rapportera till Europaparlamentet om resultatet av sitt arbete. Rådet får uppmana den verkställande direktören att rapportera om resultatet av sitt arbete.
3.Den verkställande direktören ska ha ansvar för följande:
a) Sköta Enisas dagliga förvaltning.
383
Bilaga 3 |
SOU 2020:58 |
L 151/44 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
b)Genomföra de beslut som antas av styrelsen.
c)Utarbeta utkastet till det samlade programdokumentet och lämna det till styrelsen för godkännande innan det lämnas till kommissionen.
d)Genomföra det samlade programdokumentet och rapportera till styrelsen om detta.
e)Utarbeta den konsoliderade årliga rapporten om Enisas verksamhet, inbegripet genomförandet av det årliga arbets programmet, och framlägga den för styrelsen för bedömning och antagande.
f)Utarbeta en handlingsplan för uppföljning av slutsatserna från efterhandsutvärderingarna samt rapportera vartannat år till kommissionen om de framsteg som gjorts.
g)Utarbeta en handlingsplan för uppföljning av slutsatserna från interna eller externa revisionsrapporter, liksom utred ningar utförda av Olaf, samt rapportera om läget vartannat år till kommissionen och regelbundet till styrelsen.
h) Utarbeta ett utkast till finansiella regler som ska tillämpas på Enisa som avses i artikel 32.
i)Upprätta Enisas preliminära beräkning av inkomster och utgifter och genomföra dess budget.
j)Skydda unionens finansiella intressen genom förebyggande åtgärder mot bedrägeri, korruption och annan olaglig verksamhet, genom effektiva kontroller och, om oriktigheter upptäcks, genom återkrav av felaktigt utbetalda belopp samt vid behov genom effektiva, proportionella och avskräckande administrativa och ekonomiska sanktioner.
k)Utarbeta en strategi för bedrägeribekämpning för Enisa och lägga fram den för styrelsen för godkännande.
l)Utveckla och underhålla kontakter med näringslivet och konsumentorganisationer för att säkerställa en regelbunden dialog med berörda intressenter.
m)Regelbundet utbyta synpunkter och information med unionens institutioner, organ och byråer om deras cybersäker hetsverksamhet för att säkerställa att unionens policy utvecklas och genomförs på ett enhetligt sätt.
n)Utföra andra uppgifter som den verkställande direktören tilldelas genom denna förordning.
4.När så är nödvändigt och inom ramen för Enisas mål och uppgifter, får den verkställande direktören inrätta arbetsgrupper bestående av experter, inbegripet experter från medlemsstaternas behöriga myndigheter. Den verkställande direktören ska underrätta styrelsen om detta i förväg. Förfarandena avseende i synnerhet sammansättningen av arbets grupperna, den verkställande direktörens tillsättning av arbetsgruppernas experter och arbetsgruppernas arbete ska anges i Enisas interna verksamhetsregler.
5.Där så är nödvändigt för att Enisa ska kunna utföra sina uppgifter på ett effektivt och ändamålsenligt sätt och grundat på en ändamålsenlig
I beslutet om att inrätta ett lokalt kontor ska man ange omfattningen av den verksamhet som ska bedrivas vid det lokala kontoret på ett sätt som undviker onödiga kostnader och överlappning av Enisas administrativa uppgifter.
384
SOU 2020:58 |
Bilaga 3 |
7.6.2019
A v s n i t t 4
E n i s a s r å d g i v a n d e g r u p p , i n t r e s s e n t g r u p p e n f ö r c y b e r s ä k e r h e t s c e r t i f i e r i n g o c h
n ä t v e r k f ö r n a t i o n e l l a k o n t a k t p e r s o n e r
Artikel 21
Enisas rådgivande grupp
1.Styrelsen ska på förslag av den verkställande direktören på ett transparent sätt inrätta Enisas rådgivande grupp, som ska bestå av erkända experter som företräder berörda intressenter, exempelvis
2.Förfaranden för Enisas rådgivande grupp, i synnerhet avseende gruppens sammansättning, förslaget från den verk ställande direktören som avses i punkt 1, medlemsantal och samt utnämning av gruppens medlemmar, och den rådgivande gruppens arbete, ska anges i Enisas interna verksamhetsregler och ska offentliggöras.
3.Den verkställande direktören eller en person som han eller hon utser från fall till fall ska vara ordförande för Enisas rådgivande grupp.
4.Mandatperioden för medlemmar i Enisas rådgivande grupp ska vara två och ett halvt år. Styrelseledamöter får inte vara medlemmar i Enisas rådgivande grupp. Experter från kommissionen och medlemsstaterna får närvara vid mötena i Enisas rådgivande grupp och delta i dess arbete. Företrädare för andra organ som av den verkställande direktören anses som relevanta, men som inte är medlemmar av Enisas rådgivande grupp, får bjudas in att närvara vid den rådgivande gruppens möten och delta i dess arbete.
5.Enisas rådgivande grupp ska ge Enisa råd med avseende på genomförandet av Enisas verksamhet, med undantag av tillämpningen av avdelning III i denna förordning. Den ska i synnerhet ge den verkställande direktören råd om utarbe tandet av förslaget till Enisas årliga arbetsprogram och om kommunikationen med berörda intressenter om frågor kopplade till det årliga arbetsprogrammet.
6.Enisas rådgivande grupp ska regelbundet informera styrelsen om sin verksamhet.
Artikel 22
Intressentgruppen för cybersäkerhetscertifiering
1.Intressentgruppen för cybersäkerhetscertifiering ska inrättas.
2.Intressentgruppen för cybersäkerhetscertifiering ska bestå av medlemmar som ska väljas bland erkända experter som företräder berörda intressenter. Kommissionen ska, genom en öppen och transparent inbjudan på förslag från Enisa, välja ut medlemmarna i intressentgruppen för cybersäkerhetscertifiering, och säkerställa lämplig fördelning mellan de olika intressentgrupperna samt en lämplig könsfördelning och geografisk fördelning.
3.Intressentgruppen för cybersäkerhetscertifiering ska
a)ge kommissionen råd i strategiska frågor om den europeiska ramen för cybersäkerhetscertifiering,
b)på begäran ge Enisa råd om allmänna och strategiska frågor om Enisas uppgifter när det gäller marknaden, cyber säkerhetscertifiering och standardisering,
c)bistå kommissionen vid utarbetandet av unionens löpande arbetsprogram som avses i artikel 47,
385
Bilaga 3 |
SOU 2020:58 |
L 151/46 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
d)yttra sig över unionens löpande arbetsprogram i enlighet med artikel 47.4, och
e)i brådskande ärenden ge kommissionen och europeiska gruppen för cybersäkerhetscertifiering råd om behovet av ytterligare certifieringsordningar som inte ingår i unionens löpande arbetsprogram i enlighet med vad som beskrivs i artiklarna 47 och 48.
4.Ordförandeskapet i intressentgruppen för cybersäkerhetscertifiering ska innehas gemensamt av företrädare för kom missionen och Enisa, och Enisa ska tillhandahålla sekretariatet.
Artikel 23
Nätverk för nationella kontaktpersoner
1.Styrelsen ska, på förslag av den verkställande direktören, inrätta ett nätverk för nationella kontaktpersoner som består av företrädare för alla medlemsstater. Varje medlemsstat ska utse en företrädare till nätverket för nationella kontaktpersoner. Nätverket för nationella kontaktpersoners möten kan hållas i olika expertkonstellationer.
2.Nätverket för nationella kontaktpersoner ska särskilt underlätta informationsutbytet mellan Enisa och medlems staterna och stödja Enisa i dess arbete med att informera relevanta intressenter runtom i unionen om Enisas verksamhet, slutsatser och rekommendationer.
3.De nationella kontaktpersonerna ska fungera som en kontaktpunkt på nationell nivå för att underlätta samarbetet mellan Enisa och nationella experter inom ramen för genomförandet av Enisas årliga arbetsprogram.
4.De nationella kontaktpersonerna ska ha ett nära samarbete med styrelseledamöterna från deras respektive medlems stater, men själva nätverket för nationella kontaktpersoner ska inte utföra samma arbete som styrelsen eller andra unionsforum.
5.Uppgifter och förfaranden avseende nätverket för nationella kontaktpersoner ska fastställas i Enisas interna verk samhetsregler och ska offentliggöras.
A v s n i t t 5
V e r k s a m h e t
Artikel 24
Samlat programdokument
1.Enisa ska genomföra sin verksamhet i enlighet med ett samlat programdokument som innehåller Enisas årliga och fleråriga programplanering, vilket ska inbegripa all planerad verksamhet för Enisa.
2.Den verkställande direktören ska varje år utarbeta ett utkast till samlat programdokument som ska innehålla årlig och flerårig programplanering med motsvarande planering av ekonomiska resurser och personalresurser i överensstäm melse med artikel 32 i kommissionens delegerade förordning (EU) nr 1271/2013 (25), med hänsyn till kommissionens riktlinjer.
3.Senast den 30 november varje år ska styrelsen anta det samlade programdokument som avses i punkt 1 och ska senast den 31 januari följande år översända det, liksom eventuella senare uppdaterade versioner, till Europaparlamentet, rådet och kommissionen.
4.Det samlade programdokumentet ska anses vara slutgiltigt efter det att unionens allmänna budget slutligen har antagits och ska vid behov anpassas i enlighet därmed.
(25) Kommissionens delegerade förordning (EU) nr 1271/2013 av den 30 september 2013 med rambudgetförordning för de organ som avses i artikel 208 i Europaparlamentets och rådets förordning (EU, Euratom) nr 966/2012 (EUT L 328, 7.12.2013, s. 42).
386
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/47 |
|
|
|
|
|
5.Det årliga arbetsprogrammet ska innehålla detaljerade mål och förväntade resultat, inklusive resultatindikatorer. Det ska också innehålla en beskrivning av de åtgärder som ska finansieras och uppgifter om vilka ekonomiska resurser och personalresurser som anslås till varje åtgärd, i enlighet med principerna om verksamhetsbaserad budgetering och för valtning. Det årliga arbetsprogrammet ska överensstämma med det fleråriga arbetsprogram som avses i punkt 7. I programmet ska det klart anges vilka uppgifter som lagts till, ändrats eller strukits jämfört med föregående räkenskapsår.
6.Styrelsen ska ändra det antagna årliga arbetsprogrammet om Enisa tilldelas en ny uppgift. Varje betydande ändring av det årliga arbetsprogrammet ska antas enligt samma förfarande som det ursprungliga årliga arbetsprogrammet. Styrelsen får delegera befogenheten att göra
7.I det fleråriga arbetsprogrammet ska den övergripande strategiska programplaneringen, inbegripet mål, förväntade resultat och resultatindikatorer, fastställas. Även resursplanering, inklusive flerårig budget och personal, ska fastställas.
8.Resursplaneringen ska uppdateras årligen. Den strategiska programplaneringen ska uppdateras när det är lämpligt, och i synnerhet när det är nödvändigt för att beakta resultatet av den utvärdering som avses i artikel 67.
Artikel 25
Intresseförklaring
1.Styrelsens ledamöter, den verkställande direktören och tjänstemän som är tillfälligt utstationerade av medlems staterna ska var och en avge en åtagandeförklaring och en förklaring som anger om det föreligger eller inte föreligger några direkta eller indirekta intressen som skulle kunna anses inverka negativt på deras oberoende. Förklaringarna ska vara tillförlitliga och fullständiga, och de ska avges skriftligen varje år och uppdateras vid behov.
2.Styrelsens ledamöter, den verkställande direktören och externa experter som deltar i tillfälliga arbetsgrupper ska var och en senast i inledningen av varje möte exakt och fullständigt redovisa eventuella intressen som kan påverka deras oberoende i förhållande till frågorna på dagordningen samt avhålla sig från att delta i diskussioner och omröstningar om sådana frågor.
3.Enisa ska i sina interna verksamhetsregler fastställa hur de regler om intresseförklaringar som avses i punkterna 1 och 2 ska tillämpas praktiskt.
Artikel 26
Öppenhet
1. Enisa ska utföra sitt arbete med en hög grad av öppenhet och i enlighet med artikel 28.
2.Enisa ska säkerställa att allmänheten och eventuella berörda parter får lämplig, objektiv, tillförlitlig och lättillgänglig information, framför allt om resultaten av dess arbete. Den ska också offentliggöra de intresseförklaringar som avges i enlighet med artikel 25.
3.Styrelsen får, på förslag av den verkställande direktören, ge berörda parter tillstånd att observera delar av Enisas verksamhet.
4.Enisa ska i sina interna verksamhetsregler fastställa hur de regler om öppenhet som avses i punkterna 1 och 2 ska tillämpas praktiskt.
Artikel 27
Konfidentialitet
1.Enisa ska inte för tredje part röja uppgifter som den behandlar eller mottar, om det i en motiverad ansökan har begärts att uppgifterna helt eller delvis ska behandlas konfidentiellt, dock utan att detta påverkar tillämpningen av artikel 28.
387
Bilaga 3 |
SOU 2020:58 |
L 151/48 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
2.Ledamöterna i styrelsen, den verkställande direktören, medlemmarna i Enisas rådgivande grupp, de externa experter som deltar i olika tillfälliga arbetsgrupper och Enisas personal, inbegripet tjänstemän som är tillfälligt utstationerade av medlemsstaterna, ska omfattas av tystnadsplikt enligt artikel 339 i
3.Enisa ska i sina interna verksamhetsregler fastställa hur de regler om konfidentialitet som avses i punkterna 1 och 2 ska tillämpas praktiskt.
4.Styrelsen ska besluta om att tillåta Enisa att hantera säkerhetsskyddsklassificerade uppgifter, om så krävs för att Enisa ska kunna utföra sina uppgifter. I sådana fall ska Enisa efter överenskommelse med kommissionens avdelningar anta säkerhetsbestämmelser som tillämpar säkerhetsprinciperna i kommissionens beslut (EU, Euratom) 2015/443 (26) och 2015/444 (27). Dessa säkerhetsbestämmelser ska omfatta bestämmelser om utbyte, behandling och lagring av säkerhets skyddsklassificerade uppgifter.
Artikel 28
Tillgång till handlingar
1.Förordning (EG) nr 1049/2001 ska tillämpas på de handlingar som finns hos Enisa.
2.Styrelsen ska vidta åtgärder för att genomföra förordning (EG) nr 1049/2001 senast den 28 december 2019.
3.Beslut som fattas av Enisa i enlighet med artikel 8 i förordning (EG) nr 1049/2001 får bli föremål för ett klagomål till europeiska ombudsmannen enligt artikel 228 i
ienlighet med artikel 263 i
KAPITEL IV
Upprättande av Enisas budget och budgetens struktur
Artikel 29
Upprättande av Enisas budget
1.Varje år ska den verkställande direktören upprätta en preliminär beräkning av Enisas inkomster och utgifter för det därpå följande räkenskapsåret, och ska översända den till styrelsen tillsammans med ett utkast till tjänsteförteckning. Inkomster och utgifter ska vara i balans.
2.Varje år ska styrelsen, på grundval av den preliminära beräkningen, lägga fram en beräkning av Enisas inkomster och utgifter för det därpå följande räkenskapsåret.
3.Styrelsen ska senast den 31 januari varje år överlämna beräkningen, som ska vara en del av utkastet till det samlade programdokumentet, till kommissionen och de tredjeländer med vilka unionen har slutit avtal i enlighet med artikel 42.2.
4.På grundval av den beräkningen ska kommissionen ta upp de medel som den anser vara nödvändiga för tjäns teförteckningen och storleken på det anslag som ska belasta den unionens allmänna budget i förslaget till unionens
allmänna budget, som den ska förelägga Europaparlamentet och rådet i enlighet med artikel 314 i
5.Europaparlamentet och rådet ska bevilja anslagen för bidraget från unionen till Enisa.
6.Europaparlamentet och rådet ska anta Enisas tjänsteförteckning.
|
|
|
(26) |
Kommissionens beslut (EU, Euratom) 2015/443 av den 13 mars 2015 om säkerhet inom kommissionen (EUT L 72, 17.3.2015, |
|
(27) |
s. 41). |
|
Kommissionens beslut (EU, Euratom) 2015/444 av den 13 mars 2015 om säkerhetsbestämmelser för skydd av säkerhetsskydds |
||
|
klassificerade |
|
388
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/49 |
|
|
|
|
|
7.Styrelsen ska anta Enisas budget tillsammans med det samlade programdokumentet. Enisas budget ska bli slutlig när unionens allmänna budget slutgiltigt har antagits. Styrelsen ska vid behov anpassa Enisas budget och det samlade programdokumentet till unionens allmänna budget.
Artikel 30
Enisas budgets struktur
1.Utan att det påverkar andra medel ska Enisas inkomster bestå av a) ett bidrag från unionens allmänna budget,
b) inkomster avsatta för särskilda ändamål i enlighet med Enisas finansiella regler som avses i artikel 32,
c) unionsfinansiering via delegeringsavtal eller bidrag som beviljas från fall till fall, i enlighet med de finansiella regler som avses i artikel 32 och gällande bestämmelser för de instrument som inrättats till stöd för unionens politik,
d)bidrag från tredjeländer som deltar i Enisas arbete i enlighet med artikel 42,
e)eventuella frivilliga bidrag från medlemsstater i pengar eller in natura.
Medlemsstater som ger frivilliga bidrag enligt första stycket led e får inte göra anspråk på några särskilda rättigheter eller tjänster som en följd av bidragen.
2.Enisas utgifter ska täcka kostnaderna för personal, administrativt och tekniskt stöd, infrastruktur och drift samt utgifter till följd av avtal med tredje part.
Artikel 31
Genomförande av Enisas budget
1.Den verkställande direktören ska ansvara för att Enisas budget genomförs.
2.Kommissionens internrevisor ska ha samma befogenheter gentemot Enisa som gentemot kommissionens avdel ningar.
3.Enisas räkenskapsförare översända de preliminära räkenskaperna för räkenskapsåret (år n) till kommissionens räkenskapsförare och till revisionsrätten senast den 1 mars följande räkenskapsår (år n + 1).
4.Efter mottagandet av revisionsrättens iakttagelser om Enisas preliminära räkenskaper enligt artikel 246 i Europa parlamentets och rådets förordning (EU, Euratom) 2018/1046 (28), ska Enisas räkenskapsförare upprätta Enisas slutliga räkenskaper på eget ansvar och överlämna dem till styrelsen för ett yttrande.
5.Styrelsen ska avge ett yttrande om Enisas slutliga räkenskaper.
6.Senast den 31 mars år n + 1 ska den verkställande direktören översända rapporten om budgetförvaltningen och den ekonomiska förvaltningen till Europaparlamentet, rådet, kommissionen och revisionsrätten.
7.Senast den 1 juli år n + 1 ska Enisas räkenskapsförare överlämna Enisas slutliga räkenskaper, tillsammans med styrelsens yttrande, till Europaparlamentet, rådet, kommissionens räkenskapsförare och revisionsrätten.
(28) Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 av den 18 juli 2018 om finansiella regler för unionens allmänna budget, om ändring av förordningarna (EU) nr 1296/2013, (EU) nr 1301/2013, (EU) nr 1303/2013, (EU) nr 1304/2013, (EU) nr 1309/2013, (EU) nr 1316/2013, (EU) nr 223/2014, (EU) nr 283/2014 och beslut nr 541/2014/EU samt om upphävande av förordning (EU, Euratom) nr 966/2012 (EUT L 193, 30.7.2018, s. 1).
389
Bilaga 3 |
SOU 2020:58 |
L 151/50 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
8.Enisas räkenskapsföraren ska, samma dag som hans eller hennes slutliga räkenskaper överlämnas, också till revi sionsrätten översända en bekräftelse som omfattar dessa slutliga räkenskaper, med en kopia till kommissionens räken skapsförare.
9.Senast den 15 november år n + 1 ska den verkställande direktören offentliggöra Enisas slutliga räkenskaper i Europeiska unionens officiella tidning.
10.Senast den 30 september år n + 1 ska den verkställande direktören till revisionsrätten översända ett svar på dess synpunkter och även sända en kopia av detta svar till styrelsen och till kommissionen.
11.Den verkställande direktören ska på Europaparlamentets begäran, i enlighet med artikel 261.3 i förordning (EU, Euratom) 2018/1046, för Europaparlamentet lägga fram alla uppgifter som är nödvändiga för att förfarandet för beviljande av ansvarsfrihet för det berörda räkenskapsåret ska kunna tillämpas på ett smidigt sätt.
12.På rekommendation av rådet ska Europaparlamentet före den 15 maj år n + 2 bevilja den verkställande direktören ansvarsfrihet beträffande budgetens genomförande år n.
Artikel 32
Finansiella regler
De finansiella regler som ska tillämpas på Enisa ska antas av styrelsen efter samråd med kommissionen. De får inte avvika från delegerad förordning (EU) nr 1271/2013 såvida inte en sådan avvikelse är specifikt nödvändig för Enisas verksamhet och kommissionen har lämnat sitt samtycke i förväg.
Artikel 33
Bedrägeribekämpning
1.För att underlätta bekämpning av bedrägeri, korruption och andra olagliga handlingar enligt Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013 (29) ska Enisa senast den 28 december 2019, ansluta sig till det interinstitutionella avtalet av den 25 maj 1999 mellan Europaparlamentet, Europeiska unionens råd och Europeiska gemenskapernas kommission om interna utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) (30). Enisa ska anta lämpliga bestämmelser som ska vara tillämpliga på alla anställda vid Enisa genom att använda den mall som anges i bilagan till det avtalet.
2.Revisionsrätten ska ha befogenhet att utföra revision, på grundval av handlingar och inspektioner på plats, hos alla stödmottagare, uppdragstagare och underleverantörer som erhållit unionsfinansiering från Enisa.
3.Olaf får göra utredningar, inbegripet kontroller och inspektioner på plats, i enlighet med bestämmelserna och förfarandena i förordning (EU, Euratom) nr 883/2013 och rådets förordning (Euratom, EG) nr 2185/96 (31), i syfte att fastställa om det har förekommit bedrägeri, korruption eller annan olaglig verksamhet som påverkar unionens ekono miska intressen i samband med bidrag eller kontrakt som finansierats av Enisa.
4.Utan att det påverkar tillämpningen av punkterna 1, 2 och 3 ska samarbetsavtal med tredjeländer eller internatio nella organisationer, kontrakt, bidragsavtal och bidragsbeslut från Enisa innehålla bestämmelser som uttryckligen tiller känner revisionsrätten och Olaf rätten att utföra sådan revision och genomföra sådana utredningar inom ramen för sina respektive befogenheter.
|
|
|
|
|
|
(29) |
Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013 av den 11 september 2013 om utredningar som utförs av |
||||
|
Europeiska byrån för bedrägeribekämpning (Olaf) och om upphävande av Europaparlamentets |
och rådets |
förordning |
(EG) |
|
(30) |
nr 1073/1999 och rådets förordning (Euratom) nr 1074/1999 (EUT L 248, 18.9.2013, s. 1). |
|
|
|
|
EGT L 136, 31.5.1999, s. 15. |
|
|
|
||
(31) Rådets förordning (Euratom, EG) nr 2185/96 av den 11 november 1996 om de kontroller och |
inspektioner |
på platsen |
som |
||
|
kommissionen utför för att skydda Europeiska gemenskapernas finansiella intressen mot bedrägerier och andra oegentligheter |
||||
|
(EGT L 292, 15.11.1996, s. 2). |
|
|
|
|
390
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/51 |
|
|
|
|
|
KAPITEL V
Personal
Artikel 34
Allmänna bestämmelser
Tjänsteföreskrifterna för tjänstemän och anställningsvillkoren för övriga anställda samt de bestämmelser som har antagits gemensamt av unionens institutioner för tillämpningen av tjänsteföreskrifterna för tjänstemän och anställningsvillkoren för övriga anställda ska gälla för Enisas personal.
Artikel 35
Immunitet och privilegier
Enisa och dess personal ska omfattas av protokoll nr 7 om Europeiska unionens immunitet och privilegier,
Artikel 36
Verkställande direktör
1.Den verkställande direktören ska vara tillfälligt anställd vid Enisa i enlighet med artikel 2 a i anställningsvillkoren för övriga anställda.
2.Den verkställande direktören ska utses av styrelsen från en förteckning över kandidater som föreslagits av kom missionen efter ett öppet och transparent urvalsförfarande.
3.I det anställningsavtal som sluts med den verkställande direktören ska Enisa företrädas av styrelsens ordförande.
4.Den kandidat som styrelsen väljer ska före utnämningen ombes att göra ett uttalande inför behörigt utskott i Europaparlamentet och besvara frågor från ledamöterna.
5.Den verkställande direktörens mandatperiod ska vara fem år. I slutet av denna period ska kommissionen genomföra en utvärdering av den verkställande direktörens arbetsinsats och Enisas framtida uppgifter och utmaningar.
6.Styrelsen ska fatta beslut om att utse, förlänga mandatperioden för eller avsätta den verkställande direktören i enlighet med artikel 18.2.
7.Styrelsen får på förslag av kommissionen, med beaktande av den utvärdering som avses i punkt 5, förlänga den verkställande direktörens mandatperiod en gång med fem år.
8.Styrelsen ska underrätta Europaparlamentet om sin avsikt att förlänga den verkställande direktörens mandatperiod. Inom tre månader före en sådan förlängning ska den verkställande direktören på anmodan göra ett uttalande inför behörigt utskott i Europaparlamentet och besvara frågor från ledamöterna.
9.En verkställande direktör vars mandat förlängts får inte delta i något ytterligare urvalsförfarande för samma befatt
ning.
10.Den verkställande direktören får avsättas endast efter ett beslut av styrelsen på förslag av kommissionen.
Artikel 37
Utstationerade nationella experter och annan personal
1.Enisa får använda sig av utstationerade nationella experter och annan personal som inte är anställd av Enisa. Tjänsteföreskrifterna för tjänstemän och anställningsvillkoren för övriga anställda ska inte gälla för sådan personal.
391
Bilaga 3 |
SOU 2020:58 |
L 151/52 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
2.Styrelsen ska anta ett beslut om regler för utstationering av nationella experter till Enisa.
KAPITEL VI
Allmänna bestämmelser för Enisa
Artikel 38
Enisas rättsliga ställning
1.Enisa ska vara ett unionsorgan och ska vara en juridisk person.
2.Enisa ska i varje medlemsstat ha den mest vittgående rättskapacitet som tillerkänns juridiska personer enligt nationell rätt. Den får särskilt förvärva eller avyttra lös och fast egendom och föra talan inför domstolar och andra myndigheter.
3.Enisa ska företrädas av den verkställande direktören.
Artikel 39
Enisas ansvar
1.Enisas avtalsrättsliga ansvar ska regleras av den lagstiftning som är tillämplig på avtalet i fråga.
2.Europeiska unionens domstol ska vara behörig att träffa avgöranden med stöd av en skiljedomsklausul i ett avtal som Enisa ingått.
3.Vad beträffar utomobligatoriskt ansvar ska Enisa enligt de allmänna principer som är gemensamma för medlems staternas rättsordningar ersätta skada som vållats av Enisa själv eller dess personal under tjänsteutövning.
4.Europeiska unionens domstol ska vara behörig att avgöra tvister som rör ersättning för skador som avses i punkt 3.
5.Enisas anställdas personliga ansvar gentemot Enisa ska regleras av de relevanta bestämmelser som är tillämpliga på Enisas personal.
Artikel 40
Språkordning
1.Rådets förordning nr 1 (32) ska gälla för Enisa. Medlemsstaterna och övriga organ som utsetts av medlemsstaterna kan vända sig till Enisa och har rätt att få svar på det officiella språk vid unionens institutioner som de själva väljer.
2.De översättningar som krävs för Enisas verksamhet ska tillhandahållas av Översättningscentrum för Europeiska unionens organ.
Artikel 41
Skydd av personuppgifter
1.Enisa ska behandla personuppgifter i enlighet med förordning (EU) 2018/1725.
2.Styrelsen ska anta de genomföranderegler som avses i artikel 45.3 i förordning (EU) 2018/1725. Styrelsen får anta ytterligare åtgärder som behövs för Enisas tillämpning av förordning (EU) 2018/1725.
(32) Rådets förordning nr 1 om vilka språk som skall användas i Europeiska ekonomiska gemenskapen (EGT 17, 6.10.1958, s. 385/58).
392
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/53 |
|
|
|
|
|
Artikel 42
Samarbete med tredjeländer och internationella organisationer
1.I den mån det är nödvändigt för att uppnå målen i denna förordning får Enisa samarbeta med de behöriga myndigheterna i tredjeländer eller med internationella organisationer, eller båda. För detta ändamål får Enisa, efter förhandsgodkännande från kommissionen, upprätta samarbetsavtal med myndigheterna i tredjeländer och med interna tionella organisationer. Dessa samarbetsavtal får inte medföra några juridiska förpliktelser för unionen och dess medlems stater.
2.Enisa ska vara öppen för deltagande av tredjeländer som har ingått avtal med unionen i detta syfte. I enlighet med de relevanta bestämmelserna i dessa avtal ska det fastställas samarbetsavtal som särskilt anger karaktären hos, omfatt ningen av och utformningen av dessa tredjeländers deltagande i Enisas arbete, inklusive bestämmelser om deltagande i Enisas initiativ, finansiella bidrag och personal. När det gäller personalfrågor ska dessa samarbetsavtal under alla förhål landen vara förenliga med tjänsteföreskrifterna för tjänstemän och anställningsvillkoren för övriga anställda.
3.Styrelsen ska anta en strategi för förbindelserna med tredjeländer och internationella organisationer i de frågor som Enisa har behörighet för. Kommissionen ska säkerställa att Enisa arbetar inom ramen för sitt mandat och den befintliga institutionella ramen genom att ingå lämpliga samarbetsavtal med Enisas verkställande direktör.
Artikel 43
Säkerhetsbestämmelser om skydd av känsliga
säkerhetsskyddsklassificerade uppgifter
Efter samråd med kommissionen ska Enisa anta sina säkerhetsbestämmelser som tillämpar säkerhetsprinciperna i kom missionens säkerhetsbestämmelser för skydd av känsliga
Artikel 44
Överenskommelse om säte och villkor för verksamheten
1.De nödvändiga bestämmelserna om de lokaler som ska tillhandahållas för Enisa i värdmedlemsstaten och de anläggningar som ska ställas till Enisas förfogande av den medlemsstaten, tillsammans med de särskilda regler i värd medlemsstaten som ska tillämpas på den verkställande direktören, styrelseledamöterna, Enisas personal och deras familje medlemmar, ska fastställas i en överenskommelse om säte mellan Enisa och värdmedlemsstaten, vilken ingås efter att ha godkänts av styrelsen.
2.Enisas värdmedlemsstat ska tillhandahålla bästa möjliga förutsättningar för att säkerställa en väl fungerande byrå, med beaktande av platsens tillgänglighet, adekvata utbildningsmöjligheter för personalens barn, lämplig tillgång till arbetsmarknad, social trygghet och sjukvård för personalens barn och makar.
Artikel 45
Administrativ kontroll
Enisas verksamhet ska övervakas av europeiska ombudsmannen i enlighet med artikel 228 i
AVDELNING III
RAMVERK FÖR CYBERSÄKERHETSCERTIFIERING
Artikel 46
Ett europeiskt ramverk för cybersäkerhetscertifiering
1.Ett europeiskt ramverk för cybersäkerhetscertifiering ska inrättas för att förbättra förutsättningarna för den inre marknadens funktion genom att höja cybersäkerhetsnivån i unionen och möjliggöra en harmoniserad strategi på unions nivå för europeiska ordningar för cybersäkerhetscertifiering i syfte att skapa en digital inre marknad för
393
Bilaga 3 |
SOU 2020:58 |
L 151/54 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
2.Genom det europeiska ramverket för cybersäkerhetscertifiering ska en mekanism fastställas för inrättandet av europeiska ordningar för cybersäkerhetscertifiering och för att intyga att de
Artikel 47
Unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering
1.Kommissionen ska offentliggöra unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering (nedan kallat unionens löpande arbetsprogram) i vilket strategiska prioriteringar ska fastställas för framtida europeiska ordningar för cybersäkerhetscertifiering.
2.I unionens löpande arbetsprogram ska det särskilt ingå en förteckning över
3.Inkludering av specifika
a)Tillgänglighet och utveckling av nationella ordningar för cybersäkerhetscertifiering omfattande en specifik kategori av
b)Relevant unionsrätt eller unionspolitik, eller relevant nationell rätt eller nationell politik.
c)Efterfrågan på marknaden.
d)Utvecklingen av hotbilden inom cyberområdet.
e)Begäran om utarbetande av ett specifikt förslag till certifieringsordning av europeiska gruppen för cybersäkerhets certifiering.
4.Kommissionen ska vederbörligen beakta de yttranden om utkastet till unionens löpande arbetsprogram som utfärdas av europeiska gruppen för cybersäkerhetscertifiering och intressentgruppen för certifiering.
5.Det första av unionens löpande arbetsprogram ska offentliggöras senast den 28 juni 2020. Unionens löpande arbetsprogram ska uppdateras minst en gång vart tredje år och oftare om det är nödvändigt.
Artikel 48
Begäran om en europeisk ordning för cybersäkerhetscertifiering
1.Kommissionen kan begära att Enisa utarbetar ett förslag till certifieringsordning eller ser över en befintlig europeisk ordning för cybersäkerhetscertifiering på grundval av unionens löpande arbetsprogram.
2.I vederbörligen motiverade fall kan kommissionen eller europeiska gruppen för cybersäkerhetscertifiering begära att Enisa utarbetar ett förslag till certifieringsordning eller ser över en befintlig europeisk ordning för cybersäkerhetscertifie ring som inte ingår i unionens löpande arbetsprogram. Unionens löpande arbetsprogram ska uppdateras i enlighet därmed.
Artikel 49
Utarbetande, antagande och översyn av en europeisk ordning för cybersäkerhetscertifiering
1.Efter en begäran från kommissionen i enlighet med artikel 48 ska Enisa utarbeta ett förslag till certifieringsordning som uppfyller de krav som anges i artiklarna 51, 52 och 54.
394
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/55 |
|
|
|
|
|
2.Efter en begäran från europeiska gruppen för cybersäkerhetscertifiering i enlighet med artikel 48.2 får Enisa utarbeta ett förslag till certifieringsordning som uppfyller de krav som anges i artiklarna 51, 52 och 54. Om Enisa avvisar en sådan begäran ska den lämna en motivering för detta. Beslut om att avvisa en sådan begäran ska fattas av styrelsen.
3.Vid utarbetandet av ett förslag till certifieringsordning ska Enisa samråda med alla berörda intressenter genom en formell, öppen, transparent och inkluderande samrådsprocess.
4.För varje förslag till certifieringsordning ska Enisa inrätta en för ändamålet särskilt tillsatt arbetsgrupp i enlighet med artikel 20.4 i syfte att tillhandahålla Enisa särskild rådgivning och sakkunskap.
5.Enisa ska ha ett nära samarbete med europeiska gruppen för cybersäkerhetscertifiering. Europeiska gruppen för cybersäkerhetscertifiering ska ge Enisa bistånd och expertråd vid utarbetandet av förslaget till certifieringsordning och ska anta ett yttrande om förslaget till certifieringsordning.
6.Enisa ska ta största möjliga hänsyn till europeiska gruppen för cybersäkerhetscertifierings yttrande innan Enisa översänder till kommissionen det förslag till ordning som utarbetats i enlighet med punkterna 3, 4 och 5. Yttrandet från europeiska gruppen för cybersäkerhetscertifiering är inte bindande för Enisa, och frånvaron av ett sådant yttrande hindrar inte Enisa från att översända förslaget till certifieringsordning till kommissionen.
7.Med utgångspunkt i förslaget till certifieringsordning som Enisa lagt fram, får kommissionen anta genomförande akter för europeiska ordningar för cybersäkerhetscertifiering av
8.Enisa ska åtminstone vart femte år utvärdera varje antagen europeisk ordning för cybersäkerhetscertifiering och därvid beakta synpunkter från berörda intressenter. Kommissionen eller europeiska gruppen för cybersäkerhetscertifiering får, om det anses nödvändigt, begära att Enisa inleder processen med att utarbeta ett reviderat förslag till certifierings ordning i enlighet med artikel 48 och den här artikeln.
Artikel 50
Webbplats om europeiska ordningar för cybersäkerhetscertifiering
1.Enisa ska underhålla en särskild webbplats med information om och offentliggörande av europeiska ordningar för cybersäkerhetscertifiering, europeiska cybersäkerhetscertifikat och
2.I tillämpliga fall ska det på webbplatsen som avses i punkt 1 också anges vilka nationella ordningar för cybercer tifiering som har ersatts av en europeisk ordning för cybersäkerhetscertifiering.
Artikel 51
Säkerhetsmålsättningarna för europeiska ordningar för cybersäkerhetscertifiering
En europeisk ordning för cybersäkerhetscertifiering ska vara utformat för att, i tillämpliga fall, uppnå åtminstone följande säkerhetsmålsättningar:
a)Att skydda data som lagras, överförs eller på andra sätt behandlas, mot oavsiktlig eller otillåten lagring, behandling eller åtkomst eller oavsiktligt eller otillåtet offentliggörande under hela
b)Att skydda data som lagras, överförs eller på andra sätt behandlas, mot oavsiktlig eller otillåten förstöring eller förlust, oavsiktliga eller otillåtna ändringar eller bristande tillgänglighet under hela
c)Att behöriga personer, program eller maskiner kan få åtkomst endast till de data, tjänster eller funktioner som omfattas av deras åtkomsträttigheter.
d)Att identifiera och dokumentera kända beroenden och sårbarheter.
395
Bilaga 3 |
SOU 2020:58 |
L 151/56 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
e)Att registrera vilka data, tjänster och funktioner som någon haft åtkomst till, som använts eller på andra sätt behandlats, vid vilken tidpunkt och av vem.
f)Att det är möjligt att kontrollera vilka data, tjänster eller funktioner som någon haft åtkomst till, eller som använts eller på andra sätt behandlats, vid vilken tidpunkt och av vem.
g)Kontrollera att
h)Att återställa tillgängligheten och tillgången avseende data, tjänster och funktioner i rätt tid vid en fysisk eller teknisk incident.
i)Att
j)Att
Artikel 52
Assuransnivåer för europeiska ordningar för cybersäkerhetscertifiering
1.En europeisk ordning för cybersäkerhetscertifiering får innehålla en eller flera av följande assuransnivåer för IKT- produkter,
2.Ett europeiskt cybersäkerhetscertifikat och en
3.De säkerhetskrav som motsvarar varje assuransnivå ska anges i den relevanta europeiska ordningen för cybersä kerhetscertifiering, inbegripet motsvarande säkerhetsfunktioner och motsvarande stringens och djup i fråga om den utvärdering som
4.Certifikatet eller
5.Ett europeiskt cybersäkerhetscertifikat eller en
6.Ett europeiskt cybersäkerhetscertifikat med assuransnivån ”betydande” ska försäkra att
396
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/57 |
|
|
|
|
|
7.Ett europeiskt cybersäkerhetscertifikat med assuransnivån ”hög” ska försäkra att
8.En europeisk ordning för cybersäkerhetscertifiering kan ha flera olika utvärderingsnivåer beroende på hur stringent och djupgående den aktuella utvärderingsmetoden är. Var och en av utvärderingsnivåerna ska motsvara en av assurans nivåerna och definieras genom en lämplig kombination av assuranskomponenter.
Artikel 53
Självbedömning av överensstämmelse
1.En europeisk ordning för cybersäkerhetscertifiering kan ge tillverkaren eller leverantören av
2.Tillverkaren eller leverantören av
3.Tillverkaren eller leverantören av
4.Det är frivilligt att utfärda
5.En
Artikel 54
Komponenter i europeiska ordningar för cybersäkerhetscertifiering
1.En europeisk ordning för cybersäkerhetscertifiering ska innehålla åtminstone följande komponenter:
a)Föremålet och tillämpningsområdet för certifieringsordningen, inbegripet typen eller kategorierna av de
b)En tydlig beskrivning av syftet med ordningen och hur de valda standarderna, utvärderingsmetoderna och assurans nivåerna överensstämmer med behoven hos ordningens avsedda användare.
c)En hänvisning till de internationella, europeiska eller nationella standarder som följts vid utvärderingen eller, om sådana standarder inte finns tillgängliga eller de inte är lämpliga, till tekniska specifikationer som uppfyller kraven i bilaga II till förordning (EU) nr 1025/2012 eller, om sådana specifikationer inte finns tillgängliga, till tekniska specifikationer eller andra cybersäkerhetskrav som fastställs i den europeiska ordningen för cybersäkerhetscertifiering.
d)I tillämpliga fall, en eller flera assuransnivåer.
397
Bilaga 3 |
SOU 2020:58 |
L 151/58 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
e)Angivelse av huruvida självbedömning av överensstämmelse är tillåtet inom ramen för ordningen.
f)I tillämpliga fall, särskilda eller ytterligare krav som gäller för organ för bedömning av överensstämmelse för att garantera deras tekniska kompetens att utvärdera cybersäkerhetskraven.
g)Särskilda bedömningskriterier och
h)I tillämpliga fall, uppgifter som är nödvändiga för certifieringen och som en sökande ska lämna till eller på annat sätt göra tillgängliga för organ för bedömning av överensstämmelse.
i)Om ordningen fastställer användning av märken eller etiketter, villkoren för deras användning.
j)Reglerna för övervakning av efterlevnaden av
k)I tillämpliga fall, villkor för utfärdande, bibehållande, fortsättande och förnyelse av europeiska cybersäkerhetscertifikat samt villkor för utvidgning eller inskränkning av tillämpningsområdet för certifiering.
l)Bestämmelser om följderna för
m)Bestämmelser om hur tidigare oupptäckta sårbarheter i fråga om cybersäkerhet hos
n)I tillämpliga fall, bestämmelser om hur organ för bedömning av överensstämmelse ska bevara sina uppgifter.
o)Identifiering av nationella eller internationella ordningar för cybersäkerhetscertifiering som omfattar samma typ eller kategorier av
p)Innehållet i och formatet på det utfärdade europeiska cybersäkerhetscertifikatet och
q)Den period under vilken tillverkaren eller leverantören av
r)Längsta giltighetstid för europeiska cybersäkerhetscertifikat som utfärdats enligt ordningen.
s)Offentlighetspolicy för europeiska cybersäkerhetscertifikat som utfärdats, ändrats eller återkallats enligt ordningen.
t)Villkor för ömsesidigt erkännande av certifieringsordningar med tredjeländer.
u)I tillämpliga fall, bestämmelser om eventuell mekanism för inbördes bedömning som i ordningen inrättats för de myndigheter eller organ som utfärdar europeiska cybersäkerhetscertifikat med assuransnivån ”hög” enligt artikel 56.6. Sådana mekanismer ska inte påverka den inbördes granskning som föreskrivs i artikel 59.
v)Format och förfaranden som ska följas av tillverkare eller leverantörer av
398
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/59 |
|
|
|
|
|
2.De angivna kraven för den europeiska ordningen för cybersäkerhetscertifiering ska vara förenliga med tillämpligt lagstadgat krav, i synnerhet inte krav som härrör från harmoniserad unionsrätt.
3.Om det föreskrivs i en viss unionsrättsakt får ett certifikat eller en
4.I avsaknad av harmoniserad unionsrätt får en medlemsstats nationella rätt också föreskriva att en europeisk ordning för cybersäkerhetscertifiering får användas för fastställande av presumtionen om överensstämmelse med de rättsliga kraven.
Artikel 55
Kompletterande cybersäkerhetsinformation för certifierade
1.Tillverkaren eller leverantören av
a)Vägledning och rekommendationer för att hjälpa slutanvändare med säker konfiguration, installation, ibruktagande, användning och underhåll av
b)Uppgift om tidsperiod under vilken säkerhetsstöd kommer att erbjudas slutanvändare, särskilt vad gäller tillgång till cybersäkerhetsrelaterade uppdateringar.
c)Kontaktuppgifter för tillverkaren eller leverantören och uppgift om metoder som accepteras för mottagande av sårbarhetsinformation från slutanvändare och säkerhetsforskare.
d)Hänvisning till förteckningar online över offentliggjorda sårbarheter kopplade till
2.Den information som avses i punkt 1 ska tillgängliggöras i elektroniskt format och finnas tillgänglig och vid behov uppdateras åtminstone fram till dess att motsvarande europeiska cybersäkerhetscertifikat eller
Artikel 56
Cybersäkerhetscertifiering
1.
certifiering som antagits enligt artikel 49 ska förutsättas överensstämma med kraven i en sådan ordning.
2.Cybersäkerhetscertifieringen ska vara frivillig, om inte annat anges i unionsrätten eller i medlemsstaternas nationella
rätt.
3.Kommissionen ska regelbundet bedöma effektiviteten hos och användningen av de antagna europeiska ordningarna för cybersäkerhetscertifiering och huruvida en specifik europeisk ordning för cybersäkerhetscertifiering ska göras obligato riskt genom unionsrätten i syfte att säkerställa en adekvat cybersäkerhetsnivå för
Kommissionen ska fokusera på de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148, vilka ska bedömas senast två år efter antagandet av den första europeiska ordningen för cybersäkerhetscertifiering.
399
Bilaga 3 |
SOU 2020:58 |
L 151/60 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
Vid utarbetandet av bedömningen ska kommissionen
a)beakta åtgärdernas konsekvenser i kostnadsavseende för tillverkarna och leverantörerna av de berörda
b)ta i beaktande existensen och införlivandet av relevant nationell rätt i medlemsstaterna och i tredjeländer,
c)genomföra en öppen, transparent och inkluderande samrådsprocess med alla berörda intressenter och medlemsstater,
d)beakta eventuella genomförandefrister och övergångsåtgärder och övergångsperioder, i synnerhet åtgärdens tänkbara inverkan på tillverkare eller leverantörer av
e)föreslå hur man snabbast och mest effektivt ska genomföra övergången från ett frivilligt till en obligatorisk certifie ringsordning.
4. De organ för bedömning av överensstämmelse som avses i artikel 60 ska utfärda europeiska cybersäkerhetscertifikat i enlighet med den här artikeln som avser assuransnivå ”grundläggande” eller ”betydande” på grundval av de kriterier som ingår i den europeiska ordningen för cybersäkerhetscertifiering, som antagits av kommissionen i enlighet med artikel 49.
5.Genom undantag från punkt 4, och i vederbörligen motiverade fall, får en europeisk ordning för cybersäkerhets certifiering föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett resultat av den ordningen kan utfärdas endast av ett offentligt organ. Ett sådant organ ska vara ett av följande:
a) En nationell myndighet för cybersäkerhetscertifiering som avses i artikel 58.1.
b) Ett offentligt organ som är ackrediterat som organ för bedömning av överensstämmelse i enlighet med artikel 60.1.
6.Om en europeisk ordning för cybersäkerhetscertifiering som antagits enligt artikel 49 kräver assuransnivå ”hög” ska det europeiska cybersäkerhetscertifikatet enligt den ordningen endast utfärdas av en nationell myndighet för cybersäker hetscertifiering eller, i följande fall, av ett organ för bedömning av överensstämmelse:
a)Efter förhandsgodkännande av den nationella myndigheten för cybersäkerhetscertifiering för varje enskilt europeiskt cybersäkerhetscertifikat som utfärdats av ett organ för bedömning av överensstämmelse.
b)Efter allmän delegering på förhand av uppgiften att utfärda ett sådant europeiskt cybersäkerhetscertifikat till ett organ för bedömning av överensstämmelse från den nationella myndigheten för cybersäkerhetscertifiering.
7.Den fysiska eller juridiska person som lämnar in sina
8.Innehavaren av ett europeiskt cybersäkerhetscertifikat ska informera den myndighet eller det organ som avses i punkt 7 om alla sårbarheter eller oriktigheter som upptäcks senare och som rör säkerheten för den certifierade IKT- produkten,
9.Ett europeiskt cybersäkerhetscertifikat ska utfärdas för den period som fastställs i den europeiska ordningen för cybersäkerhetscertifiering och får förnyas under förutsättning att de relevanta kraven alltjämt uppfylls.
400
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/61 |
|
|
|
|
|
10.Ett europeiskt cybersäkerhetscertifikat som utfärdats i enlighet med denna artikel ska erkännas i alla medlemsstater.
Artikel 57
Nationella ordningar och certifikat för cybersäkerhetscertifiering
1.Utan att det påverkar tillämpningen av punkt 3 i denna artikel ska de nationella ordningarna för cybersäkerhets certifiering och därtill hörande förfaranden, för
2.Medlemsstaterna ska inte införa nya nationella ordningar för cybersäkerhetscertifiering av de
3.Befintliga certifikat som utfärdats enligt nationella ordningar för cybersäkerhetscertifiering och som omfattas av en europeisk ordning för cybersäkerhetscertifiering ska förbli giltiga tills de löper ut.
4.I syfte att undvika en fragmentering av den inre marknaden ska medlemsstaterna underrätta kommissionen och europeiska gruppen för cybersäkerhetscertifiering om alla avsikter att utarbeta nya nationella ordningar för cybersäker hetscertifiering.
Artikel 58
Nationella myndigheter för cybersäkerhetscertifiering
1.Varje medlemsstat ska utse en eller flera nationella myndigheter för cybersäkerhetscertifiering på sitt territorium eller, efter överenskommelse med en annan medlemsstat, utse en eller flera nationella myndigheter för cybersäkerhets certifiering som är etablerade i denna andra medlemsstat som ansvariga för tillsynsuppgifterna i den utseende medlems staten.
2.Varje medlemsstat ska underrätta kommissionen om vilka nationella myndigheter för cybersäkerhetscertifiering som utsetts. Om en medlemsstat utser mer än en myndighet ska den också informera kommissionen om vilka uppgifter som var och en av dessa myndigheter tilldelats.
3.Utan att det påverkar tillämpningen av artikel 56.5 a och 56.6 ska varje nationell myndighet för cybersäkerhets certifiering vara oberoende av de enheter som den utövar tillsyn över vad gäller dess organisation, beslut om finansiering, rättsliga struktur och beslutsfattande.
4.Medlemsstaterna ska säkerställa att den verksamhet som bedrivs av den nationella myndigheten för cybersäkerhets certifiering i samband med utfärdande av europeiska cybersäkerhetscertifikat som avses i artikel 56.5 a och 56.6 är strikt avskilda från deras uppgifter och ansvarsområden i förhållande till tillsynsverksamheten enligt den här artikeln och att dessa verksamheter utförs oberoende av varandra.
5.Medlemsstaterna ska säkerställa att de nationella myndigheterna för cybersäkerhetscertifiering har tillräckliga resurser för att kunna utöva sina befogenheter och kunna utföra sina uppgifter på ett effektivt och ändamålsenligt sätt.
6.För en effektiv tillämpning av denna förordning är det lämpligt att nationella myndigheterna för cybersäkerhets certifiering deltar i den europeiska gruppen för cybersäkerhetscertifiering på ett aktivt, effektivt, ändamålsenligt och säkert sätt.
7.Nationella myndigheter för cybersäkerhetscertifiering ska
a)övervaka och kontrollera efterlevnaden av bestämmelserna i europeiska ordningar för cybersäkerhetscertifiering enligt artikel 54.1 j för övervakning av
401
Bilaga 3 |
SOU 2020:58 |
L 151/62 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
b)kontrollera att tillverkare eller leverantörer av
c)utan att det påverkar tillämpningen av artikel 60.3 aktivt bistå och stödja de nationella ackrediteringsorganen med övervakning och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse i enlighet med denna förordning,
d) övervaka och kontrollera den verksamhet som bedrivs av de offentliga organ som avses i artikel 56.5,
e)i tillämpliga fall utfärda bemyndiganden för organ för bedömning av överensstämmelse i enlighet med artikel 60.3 och begränsa, tillfälligt upphäva eller återkalla befintliga bemyndiganden om organen för bedömning av överensstämmelse inte uppfyller kraven i denna förordning,
f)behandla klagomål från fysiska eller juridiska personer avseende europeiska cybersäkerhetscertifikat som utfärdats av nationella myndigheter för cybersäkerhetscertifiering eller europeiska cybersäkerhetscertifikat som utfärdats av organ för bedömning av överensstämmelse i enlighet med artikel 56.6, eller avseende en
g)lämna en årlig sammanfattande rapport om den verksamhet som bedrivits enligt leden b, c och d i denna punkt eller enligt punkt 8 till Enisa och europeiska gruppen för cybersäkerhetscertifiering,
h)samarbeta med andra nationella myndigheter för cybersäkerhetscertifiering eller andra myndigheter, bland annat genom att utbyta information om
i)övervaka relevant utveckling på området cybersäkerhetscertifiering.
8.Varje nationell myndighet för cybersäkerhetscertifiering ska åtminstone ha befogenheter att
a)begära att organ för bedömning av överensstämmelse, innehavare av ett europeiskt cybersäkerhetscertifikat och utfärdare en
b)genomföra undersökningar, i form av kontroller, av organ för bedömning av överensstämmelse, innehavare av ett europeiskt cybersäkerhetscertifikat och utfärdare av en
c)vidta lämpliga åtgärder, i enlighet med nationell rätt, för att säkerställa att organ för bedömning av överensstämmelse, innehavare av europeiska cybersäkerhetscertifikat och utfärdare av en
d)få tillgång till alla lokaler hos organ för bedömning av överensstämmelse eller innehavare av ett europeiskt cybersä kerhetscertifikat i syfte att genomföra utredningar i enlighet med unionsrätten eller medlemsstaternas processrätt,
e)i enlighet med nationell rätt, återkalla europeiska cybersäkerhetscertifikat som utfärdats av den nationella myndigheten för cybersäkerhetscertifiering eller europeiska cybersäkerhetscertifikat som utfärdats av organ för bedömning av över ensstämmelse i enlighet med artikel 56.6, om sådana certifikat inte uppfyller kraven i denna förordning eller en europeisk ordning för cybersäkerhetscertifiering,
f)utdöma sanktioner i enlighet med nationell rätt, enligt artikel 65, och kräva att överträdelser av skyldigheterna i denna förordning omedelbart upphör.
402
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/63 |
|
|
|
|
|
9.Nationella myndigheter för cybersäkerhetscertifiering ska samarbeta med varandra och med kommissionen, i syn nerhet, genom att utbyta information, erfarenheter och god praxis när det gäller cybersäkerhetscertifiering och tekniska frågor som rör cybersäkerhet hos
Artikel 59
Inbördes granskning
1.I syfte att uppnå likvärdiga standarder i hela unionen för europeiska cybersäkerhetscertifikat och
2.Den inbördes granskningen ska företas utifrån gedigna och transparenta kriterier och förfaranden för utvärdering, särskilt när det gäller strukturella krav samt krav gällande personal och förfaranden och med hänsyn till konfidentialitet och klagomål.
3.Den inbördes granskningen ska omfatta en bedömning
a)i tillämpliga fall av om den verksamhet som bedrivs av nationella myndigheter för cybersäkerhetscertifiering i samband med utfärdande av europeiska cybersäkerhetscertifikat som avses i artikel 56.5 a och 56.6 är strikt åtskilda från deras tillsynsverksamhet enligt artikel 58 och om dessa verksamheter utförs oberoende av varandra,
b)av förfarandena för övervakning och kontroll av efterlevnaden av bestämmelserna om
c)av förfarandena för övervakning och verkställande av de skyldigheter som tillverkare eller tillhandahållare av IKT- produkter, IKT tjänster eller
d)av förfarandena för övervakning, bemyndigande och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse,
e)i tillämpliga fall av om personalen vid de myndigheter eller organ som utfärdar certifikat med assuransnivån ”hög” i enlighet med artikel 56.6 har lämplig sakkunskap.
4.Den inbördes granskningen ska utföras av minst två nationella myndigheter för cybersäkerhetscertifiering från andra medlemsstater och kommissionen och ska utföras minst vart femte år. Enisa får delta i den inbördes granskningen.
5.Kommissionen får anta genomförandeakter, som inrättar en plan för den inbördes granskningen som ska omfatta en period på minst fem år, med kriterier för sammansättningen av gruppen som ska utföra den inbördes granskningen, den metod som ska användas, tidsplanen, frekvensen och andra uppgifter som rör den inbördes granskningen. När kommissionen antar dessa genomförandeakter ska den ta vederbörlig hänsyn till synpunkterna från den europeiska gruppen för cybersäkerhetscertifiering. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 66.2.
6.Europeiska gruppen för cybersäkerhetscertifiering ska behandla resultaten av den inbördes granskningen och göra en sammanfattning som får offentliggöras samt vid behov utfärda riktlinjer eller rekommendationer om åtgärder som ska vidtas av de berörda enheterna.
Artikel 60
Organ för bedömning av överensstämmelse
1.Organen för bedömning av överensstämmelse ska ackrediteras av det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/2008. Sådan ackreditering ska endast utfärdas under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till denna förordning.
403
Bilaga 3 |
SOU 2020:58 |
L 151/64 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
2.Om ett europeiskt cybersäkerhetscertifikat utfärdas av en nationell myndighet för cybersäkerhetscertifiering enligt artikel 56.5 a och 56.6 ska certifieringsorganet hos den nationella myndigheten för cybersäkerhetscertifiering ackrediteras som ett organ för bedömning av överensstämmelse enligt punkt 1 i den här artikeln.
3.Om de europeiska ordningarna för cybersäkerhetscertifiering innehåller särskilda eller ytterligare krav enligt arti kel 54.1 f ska endast organ för bedömning av överensstämmelse som uppfyller dessa krav bemyndigas av den nationella myndigheten för cybersäkerhetscertifiering att utföra uppgifter inom ramen för sådana ordningar.
4.Ackrediteringen som avses i punkt 1 ska utfärdas till organen för bedömning av överensstämmelse för en period på högst fem år och får förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven i denna artikel. Nationella ackrediteringsorgan ska vidta alla lämpliga åtgärder inom en rimlig tidsram för att begränsa, tillfälligt upphäva eller återkalla ackrediteringen av ett organ för bedömning av överensstäm melse som utfärdats i enlighet med punkt 1 om villkoren för ackrediteringen inte har uppfyllts, eller inte längre uppfylls eller om åtgärder som vidtagits av organet för bedömning av överensstämmelse strider mot denna förordning.
Artikel 61
Anmälan
1.För varje europeisk ordning för cybersäkerhetscertifiering ska de nationella myndigheterna för cybersäkerhetscerti fiering till kommissionen anmäla de organ för bedömning av överensstämmelse som har ackrediterats och, i tillämpliga fall, bemyndigade i enlighet med artikel 60.3 att utfärda europeiska cybersäkerhetscertifikat på angivna assuransnivåer enligt artikel 52. De nationella myndigheterna för cybersäkerhetscertifiering ska, utan onödigt dröjsmål, till kommissionen anmäla eventuella senare ändringar av dessa.
2.Ett år efter ikraftträdandet av en europeisk ordning för cybersäkerhetscertifiering ska kommissionen offentliggöra en förteckning över de organ för bedömning av överensstämmelse som har anmälts enligt den ordningen i Europeiska unionens officiella tidning.
3.Om kommissionen mottar en anmälan efter utgången av den period som avses i punkt 2 ska den offentliggöra ändringarna av förteckningen över anmälda organ för bedömning av överensstämmelse i Europeiska unionens officiella tidning inom två månader från dagen för mottagandet av den anmälan.
4.En nationell myndighet för cybersäkerhetscertifiering får lämna in en begäran till kommissionen om att stryka ett organ för bedömning av överensstämmelse, som anmälts av den myndigheten, från den förteckning som avses i punkt 2. Kommissionen ska offentliggöra motsvarande ändringar av förteckningen i Europeiska unionens officiella tidning inom en månad från och med dagen för mottagandet av begäran från den nationella myndigheten för cybersäkerhetscertifiering.
5.Kommissionen får anta genomförandeakter för att fastställa förutsättningar, format och förfaranden för de anmäl ningar som avses i punkt 1 i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 66.2.
Artikel 62
Europeiska gruppen för cybersäkerhetscertifiering
1.Europeiska gruppen för cybersäkerhetscertifiering (nedan kallad gruppen) ska inrättas.
2.Gruppen ska bestå av företrädare för nationella myndigheter för cybersäkerhetscertifiering eller företrädare för andra berörda nationella myndigheter. En gruppmedlem får inte företräda mer än två medlemsstater.
3.Intressenter och berörda tredje parter får bjudas in att delta i gruppens möten och delta i dess arbete.
4.Gruppen ska ha i uppgift att
a)ge råd till och bistå kommissionen i dess arbete för att säkerställa ett konsekvent genomförande och en konsekvent tillämpning av denna avdelning, särskilt när det gäller frågor som rör unionens löpande arbetsprogram, cybersäker hetscertifiering, strategisamordning och utarbetandet av de europeiska ordningarna för cybersäkerhetscertifiering,
404
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/65 |
|
|
|
|
|
b)ge råd till, bistå och samarbeta med Enisa när det gäller utarbetande av förslag till certifieringsordning enligt artikel 49,
c)anta ett yttrande om förslagtill certifieringsordning som utarbetats av Enisa enligt artikel 49,
d)uppmana Enisa att utarbeta förslag till certifieringsordning enligt artikel 48.2,
e)anta yttranden riktade till kommissionen rörande underhåll och översyn av befintliga europeiska ordningar för cybersäkerhetscertifiering,
f)undersöka den relevanta utvecklingen på området cybersäkerhetscertifiering och utbyta information och god praxis om ordningar för cybersäkerhetscertifiering,
g)underlätta samarbetet mellan nationella myndigheter för cybersäkerhetscertifiering enligt denna avdelning genom kapacitetsuppbyggnad och utbyte av information, särskilt genom att fastställa metoder för ett effektivt informations utbyte om frågor som rör cybersäkerhetscertifiering,
h)tillhandahålla stöd för genomförandet av mekanismerna för inbördes bedömning i enlighet med de regler som
fastställts i en europeisk ordning för cybersäkerhetscertifiering enligt artikel 54.1 u.
i)underlätta anpassningen av europeiska ordningar för cybersäkerhetscertifiering med internationellt erkända standarder, också genom att se över befintliga europeiska ordningar för cybersäkerhetscertifiering och, där så är lämpligt, lämna rekommendationer till Enisa om att samarbeta med relevanta internationella standardiseringsorganisationer för att åtgärda brister eller luckor i de befintliga internationellt erkända standarderna.
5.Med stöd från Enisa ska kommissionen vara ordförande i gruppen och kommissionen ska tillhandahålla gruppen ett sekretariat, i enlighet med artikel 8.1 e.
Artikel 63
Rätt att lämna in klagomål
1.Fysiska och juridiska personer ska ha rätt att lämna in klagomål till utfärdaren av ett europeiskt cybersäkerhets certifikat eller, när klagomålet rör ett europeiskt cybersäkerhetscertifikat som utfärdats av ett organ för bedömning av överensstämmelse som handlar i enlighet med artikel 56.6, till den berörda nationella myndigheten för cybersäkerhets certifiering.
2.Myndigheten eller organet till vilket klagomålet har lämnats in ska underrätta den klagande om hur förfarandet fortskrider och vilket beslut som fattats, och ska informera den klagande om rätten till effektiva rättsmedel enligt artikel 64.
Artikel 64
Rätt till ett effektivt rättsmedel
1.Utan att det påverkar administrativa rättsmedel eller andra prövningsförfaranden utanför domstol ska fysiska och juridiska personer ha rätt till effektiva rättsmedel avseende
a)beslut fattade av den myndighet eller det organ som avses i artikel 63.1, i tillämpliga fall, även om felaktigt utfärdande,
b)underlåtenhet att vidta åtgärder med anledning av ett klagomål som lämnats in till den myndighet eller det organ som avses i artikel 63.1.
2.Förfaranden enligt denna artikel ska inledas vid domstolarna i den medlemsstat där myndigheten eller organet som det rättsmedlen avser är beläget.
405
Bilaga 3 |
SOU 2020:58 |
L 151/66 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
Artikel 65
Sanktioner
Medlemsstaterna ska fastställa regler om sanktioner vid överträdelse av denna avdelning och överträdelser av europeiska ordningar för cybersäkerhetscertifiering, och ska vidta alla nödvändiga åtgärder för att se till att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. Medlemsstaterna ska till kommissionen anmäla dessa regler och åtgärder utan dröjsmål samt eventuella ändringar som berör dem.
AVDELNING IV
SLUTBESTÄMMELSER
Artikel 66
Kommittéförfarande
1.Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.
2.När det hänvisas till denna punkt ska artikel 5.4 b i förordning (EU) nr 182/2011 tillämpas.
Artikel 67
Utvärdering och granskning
1.Senast den 28 juni 2024, och därefter vart femte år, ska kommissionen utvärdera effekterna av och ändamåls enligheten och effektiviteten hos Enisas arbete samt dess arbetsmetoder, det eventuella behovet av att ändra Enisas mandat samt de finansiella följderna av sådana ändringar. Utvärderingen ska beakta alla synpunkter som Enisa mottagit beträf fande sin verksamhet. Om kommissionen anser att Enisas fortsatta drift inte längre är motiverad mot bakgrund av de mål, mandat och uppgifter som den tilldelats, kan kommissionen föreslå att de bestämmelser i denna förordning som rör Enisa ändras.
2.Utvärderingen ska även bedöma effekterna av och ändamålsenligheten och effektiviteten hos bestämmelserna i avdelning III i denna förordning i fråga om målen att säkerställa en tillräcklig nivå avseende cybersäkerhet hos IKT- produkter,
3.I utvärderingen ska det bedömas om tillträde till den inre marknaden ska förutsätta att väsentliga cybersäkerhetskrav uppfyllts, för att förhindra att
4.Senast den 28 juni 2024 och vart femte år därefter ska kommissionen översända rapporten om utvärderingen tillsammans med dess slutsatser till Europaparlamentet, rådet och styrelsen. Rapportens resultat ska offentliggöras.
Artikel 68
Upphävande och succession
1.Förordning (EU) nr 526/2013 upphör att gälla med verkan från och med den 27 juni 2019.
2.Hänvisningar till förordning (EU) nr 526/2013 och till Enisa som inrättats genom den förordningen, ska anses som hänvisningar till den här förordningen och till Enisa som inrättats genom den här förordningen.
3. Enisa som inrättats genom den här förordningen efterträder Enisa som inrättades genom förordning (EU) nr 526/2013 när det gäller all äganderätt samt alla avtal, rättsliga skyldigheter, anställningskontrakt, finansiella åtaganden och ansvarsskyldigheter. Alla beslut som styrelsen och direktionen har fattat i enlighet med förordning (EU) nr 526/2013 ska fortsätta att gälla, förutsatt att de överensstämmer med den här förordningen.
406
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/67 |
|
|
|
|
|
4.Enisa ska inrättas på obestämd tid från den 27 juni 2019.
5.Den verkställande direktör som har utsetts i enlighet med artikel 24.4 i förordning (EU) nr 526/2013 ska kvarstå i tjänst och utöva de uppgifter för Enisas verkställande direktör som avses i artikel 20 i den här förordningen under den återstående delen av den verkställande direktörens mandatperiod. Övriga villkor i den verkställande direktörens avtal ska förbli oförändrade.
6.Styrelseledamöterna och deras suppleanter som utsetts i enlighet med artikel 6 i förordning (EU) nr 526/2013 ska kvarstå i tjänst och utöva de styrelsefunktioner som avses i artikel 15 i den här förordningen under den återstående delen av sina mandatperioder.
Artikel 69
Ikraftträdande
1.Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
2.Artiklarna 58, 60, 61, 63, 64 och 65 ska tillämpas från och med den 28 juni 2021.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Strasbourg den 17 april 2019.
På Europaparlamentets vägnar |
|
På rådets vägnar |
A. TAJANI |
|
G. CIAMBA |
Ordförande |
|
Ordförande |
|
|
|
407
Bilaga 3 |
SOU 2020:58 |
L 151/68 |
SV |
Europeiska unionens officiella tidning |
7.6.2019 |
|
|
|
|
|
|
BILAGA
KRAV SOM ORGANEN FÖR BEDÖMNING AV ÖVERENSSTÄMMELSE SKA UPPFYLLA
De organ för bedömning av överensstämmelse som önskar bli ackrediterade ska uppfylla följande krav:
1.Ett organ för bedömning av överensstämmelse ska inrättas i enlighet med nationell rätt och vara en juridisk person.
2.Ett organ för bedömning av överensstämmelse ska vara ett tredjepartsorgan som är oberoende av den organisation eller de
3.Ett organ som hör till en näringslivsorganisation eller branschorganisation som företräder företag som är involverade i konstruktion, tillverkning, leverans, installation, användning eller underhåll av de
4.Organen för bedömning av överensstämmelse, deras högsta ledning och den personal som ansvarar för att utföra bedömningen av överensstämmelse, får inte utgöras av den som konstruerar, tillverkar, levererar, installerar, köper, äger, använder eller underhåller den
5.Organen för bedömning av överensstämmelse, deras högsta ledning och den personal som ansvarar för genom förandet av bedömningen av överensstämmelse får varken delta direkt i konstruktionen, tillverkningen, marknads föringen, installationen, användningen eller underhållet av dessa
6.Om ett organ för bedömning av överensstämmelse ägs eller drivs av en offentlig myndighet eller institution ska det säkerställas och dokumenteras att organet har en oberoende ställning och att inga intressekonflikter föreligger mellan den nationella myndigheten för cybersäkerhetscertifiering och, organet för bedömning av överensstämmelse.
7.Organ för bedömning av överensstämmelse ska säkerställa att deras dotterbolags eller underentreprenörers verk samhet inte påverkar sekretessen, objektiviteten eller opartiskheten i organens bedömningar av överensstämmelse.
8.Organ för bedömning av överensstämmelse och deras personal ska utföra bedömningen av överensstämmelse med största möjliga yrkesintegritet, ha erforderlig teknisk kompetens på det specifika området och vara fria från alla påtryckningar och incitament, som kan påverka deras omdöme eller resultaten av deras bedömning av överens stämmelse, inklusive påtryckningar och incitament av ekonomisk natur, särskilt när det gäller personer eller grupper av personer som berörs av denna verksamhet.
9.Ett organ för bedömning av överensstämmelse ska vara i stånd att utföra alla de uppgifter för bedömning av överensstämmelse som det utsetts att utföra enligt denna förordning, oavsett om uppgifterna utförs av organet för bedömning av överensstämmelse självt eller av annan part för dess räkning och på dess ansvar. Om underleverantörer eller utomstående konsulter anlitas ska detta vara väl dokumenterat, inte inbegripa mellanhänder och det ska finnas ett skriftligt avtal som bland annat ska innehålla bestämmelser om sekretess och intressekonflikter. Det aktuella organet för bedömning av överensstämmelse ska åta sig fullt ansvar för de uppgifter som utförs.
10.Vid alla tidpunkter och vid varje bedömning av överensstämmelse och för varje typ, kategori eller underkategori av
a)personal med teknisk kunskap och tillräcklig och lämplig erfarenhet för att utföra de uppgifter som ingår i bedömningen av överensstämmelse,
b)erforderliga beskrivningar av förfarandena i enlighet med vilka bedömningar av överensstämmelse utförs, som säkerställer insyn i dessa förfaranden och möjligheten att reproducera dem; organet ska förfoga över lämpliga riktlinjer och förfaranden för att skilja mellan de uppgifter som det utför i sin egenskap av anmält organ enligt artikel 61 och all annan verksamhet,
408
SOU 2020:58 |
Bilaga 3 |
7.6.2019 |
|
SV |
Europeiska unionens officiella tidning |
L 151/69 |
|
|
|
|
|
c)förfaranden som gör det möjligt för organet att utöva sin verksamhet med vederbörlig hänsyn tagen till ett företags storlek, bransch och struktur, den berörda
11.Ett organ för bedömning av överensstämmelse ska ha de nödvändiga medlen för att korrekt kunna utföra de tekniska och administrativa uppgifterna i samband med bedömningen av överensstämmelse och ska ha tillgång till den utrustning och de hjälpmedel som är nödvändiga.
12.Den personal som ansvarar för att utföra bedömningen av överensstämmelse ska ha
a)en grundlig teknisk utbildning och yrkesutbildning som omfattar all verksamhet i samband med bedömning av överensstämmelse,
b)tillfredsställande kunskap om kraven för de bedömningar av överensstämmelse som de utför och fullgod befo genhet att utföra dessa bedömningar,
c)lämpliga kunskaper och förståelse om de tillämpliga kraven och provningsstandarderna,
d)förmåga att upprätta intyg, protokoll och rapporter som visar att bedömningarna av överensstämmelse har utförts.
13.Det ska garanteras att organ för bedömning av överensstämmelse, deras högsta ledning, personal som är ansvarig för att utföra bedömningar av överensstämmelse och alla underleverantörer är opartiska.
14.Ersättningen till den högsta ledningen för och av personalen som ansvarar för bedömningen av överensstämmelse får inte vara beroende av antalet bedömningar av överensstämmelse som görs eller resultaten av bedömningarna.
15.Organ för bedömning av överensstämmelse ska vara ansvarsförsäkrade, såvida inte ansvaret åligger medlemsstaten enligt dess nationella rätt eller medlemsstaten själv tar direkt ansvar för bedömningen av överensstämmelse.
16.Organet för bedömning av överensstämmelse och dess personal, kommittéer, dotterbolag, underleverantörer och eventuella anslutna organ eller personal vid externa organ som ett organ för bedömning av överensstämmelse anlitar ska underhålla konfidentialitet och iaktta tystnadsplikt beträffande all information som de erhåller vid utförandet av sina uppgifter avseende bedömning av överensstämmelse i enlighet med denna förordning eller de nationella be stämmelser som genomför den, utom i de fall då uppgifter måste lämnas enligt unionsrätten eller medlemsstaternas nationella rätt som är tillämplig på personen i fråga och utom gentemot de behöriga myndigheterna i de medlems stater där verksamheten utförs. Immateriella rättigheter ska skyddas. Organet för bedömning av överensstämmelse ska ha infört dokumenterade förfaranden rörande kraven i denna punkt.
17.Förutom kraven i punkt 16 hindrar inget i denna bilaga utbyte av teknisk information och vägledning om gällande regler mellan organet för bedömning av överensstämmelse och en person som ansöker om certifiering, eller som överväger att ansöka, om certifiering.
18.Organen för bedömning av överensstämmelse ska fungera enligt konsekventa, rättvisa och rimliga villkor och bestämmelser och när det gäller avgifter beakta intressena hos små och medelstora företag.
19.Organen för bedömning av överensstämmelse ska uppfylla de krav som anges i relevant standard som harmoniserats enligt förordning (EG) nr 765/2008 för ackreditering av organ för bedömning av överensstämmelse som utför certifiering av
20.Organen för bedömning av överensstämmelse ska säkerställa att de provningslaboratorier som används för att prova överensstämmelsen uppfyller de krav som anges i relevant standard som harmoniserats enligt förordning (EG) nr 765/2008 för ackreditering av laboratorier som utför provningar.
409
Statens offentliga utredningar 2020
Kronologisk förteckning
1.Översyn av yrket personlig assistent
– ett viktigt yrke som förtjänar bra villkor. S.
2.Skärpta regler om utländska månggiften. Ju.
3.Hållbar slamhantering. M.
4.Vägen till en klimatpositiv framtid. M.
5.Fler ruttjänster och höjt tak för rutavdraget. Fi.
6.En begriplig och trygg sjukförsäkring med plats för rehabilitering. S.
7.Brott mot djur – Skärpta straff och ett mer effektivt sanktionssystem. N.
8.Starkare kommuner – med kapacitet att klara välfärdsuppdraget. Fi.
9.Kunskapsläget på kärnavfalls- området 2020. Steg för steg. Var står vi? Vart går vi? M.
10.Stärkt lokalt åtgärdsarbete – att nå målet Ingen övergödning. M.
11.Kompletterande bestämmelser till EU:s förordning om utländska direktinvesteringar. Ju.
12.Nya kapitaltäckningsregler för värdepappersbolag. Fi.
13.Att kriminalisera överträdelser av
14.Framtidens teknik i omsorgens tjänst. S.
15.Strukturförändring och investering i hälso- och sjukvården – lärdomar från exemplet NKS. S.
16.Ett effektivare regelverk för utlännings ärenden med säkerhetsaspekter. Ju.
17.Grönt sparande. Fi.
18.Framtidens järnvägsunderhåll. I.
19.God och nära vård. En reform för ett hållbart hälso- och sjukvårdssystem. S.
20.Skatt på modet – för att få bort skadliga kemikalier. Fi.
21.Sveriges museum om Förintelsen. + Holocaust Remembrance and Representation. Documentation from a Research Conference. Ku.
22.Motorfordonspooler
– på väg mot ökad delning av motor- fordon. Fi.
23.Hälso- och sjukvård i det civila försvaret – underlag till försvarspolitisk inriktning. S.
24.Tillsammans för en välfungerande sjukskrivnings- och rehabiliterings- process. S.
25.Ett nationellt biljettsystem för all kollektivtrafik. I.
26.En sjukförsäkring anpassad efter individen. S.
27.Högre växel i minoritetspolitiken. Stärkt samordning och uppföljning. Ku.
28.En mer likvärdig skola
– minskad skolsegregation och för-
bättrad resurstilldelning. U.
29.En ny myndighet för att stärka det psykologiska försvaret. Ju.
30.En moderniserad arbetsrätt. A.
31.En ny mervärdesskattelag. Del 1 och 2. Fi.
32.Grundpension. Några anslutande frågor. S.
33.Gemensamt ansvar
– en modell för planering och dimen- sionering av gymnasial utbildning. Del 1 och 2. U.
34.Stärkt kvalitet och likvärdighet
i fritidshem och pedagogisk omsorg. U.
35.Kontroll för ökad tilltro
– en ny myndighet för att förebygga, förhindra och upptäcka felaktiga ut betalningar från välfärdssystemen. Fi.
36.Ett nationellt sammanhållet system för kunskapsbaserad vård
– ett system, många möjligheter. S.
37.Ett nytt regelverk för arbetslöshets- försäkringen. A.
38.Ökad trygghet för visselblåsare. A.
39.Kärnavfallsrådets yttrande över SKB:s
40.En gemensam utbildning inom statsförvaltningen. Fi.
41.Kommuner som utförare
av tjänster åt Arbetsförmedlingen
–en analys av de rättsliga förutsätt- ningarna. A.
42.En annan möjlighet till särskilt stöd. Reglering av kommunala resurs- skolor. U.
43.Bygga, bedöma, betygssätta
–betyg som bättre motsvarar
elevernas kunskaper. U.
44.Grundlagsskadestånd – ett rättighets- skydd för enskilda. Ju.
45.Ett ändamålsenligt skydd för tryck- och yttrandefriheten. Ju.
46.En gemensam angelägenhet. Vol. 1 och 2. Fi.
47.Hållbar socialtjänst. En ny social- tjänstlag. Del 1 och 2. S.
48.Skatt på engångsartiklar. Fi.
49.Enhetlig och effektiv marknads- kontroll. UD.
50.Enklare skatteregler för enskilda näringsidkare. Fi.
51.En ny lag om konsumentskydd vid köp och vissa andra avtal. Ju.
52.Rutavdrag för äldre. Fi.
53.Personuppgiftsbehandling vid antals- beräkning inför klinisk forskning. N.
54.En långsiktigt hållbar migrations- politik. Ju.
55.Innovation genom information. I.
56.Det demokratiska samtalet i en digital tid. Så stärker vi motståndskraften mot desinformation, propaganda och näthat. Ku.
57.Ett särskilt hedersbrott. Ju.
58.EU:s cybersäkerhetsakt
–kompletterande nationella bestäm- melser om cybersäkerhetscertifiering. Fö.
Statens offentliga utredningar 2020
Systematisk förteckning
Arbetsmarknadsdepartementet
En moderniserad arbetsrätt. [30]
Ett nytt regelverk för arbetslöshets- försäkringen. [37]
Ökad trygghet för visselblåsare. [38]
Kommuner som utförare
av tjänster åt Arbetsförmedlingen
–en analys av de rättsliga förut- sättningarna. [41]
Finansdepartementet
Fler ruttjänster och höjt tak för rutavdraget. [5]
Starkare kommuner – med kapacitet att klara välfärdsuppdraget. [8]
Nya kapitaltäckningsregler för värdepappersbolag. [12]
Grönt sparande. [17]
Skatt på modet – för att få bort skadliga kemikalier. [20]
Motorfordonspooler
–på väg mot ökad delning av motor- fordon. [22]
En ny mervärdesskattelag.
Del 1 och 2. [31]
Kontroll för ökad tilltro
–en ny myndighet för att förebygga, förhindra och upptäcka felaktiga ut betalningar från välfärdssystemen. [35]
En gemensam utbildning inom statsförvaltningen. [40]
En gemensam angelägenhet. Vol. 1 och 2. [46]
Skatt på engångsartiklar. [48]
Enklare skatteregler för enskilda närings- idkare. [50]
Rutavdrag för äldre. [52]
Försvarsdepartementet
EU:s cybersäkerhetsakt
–kompletterande nationella bestäm- melser om cybersäkerhetscertifiering. [58]
Infrastrukturdepartementet
Framtidens järnvägsunderhåll. [18]
Ett nationellt biljettsystem för all kollektivtrafik. [25]
Innovation genom information. [55]
Justitiedepartementet
Skärpta regler om utländska månggiften. [2]
Kompletterande bestämmelser
till EU:s förordning om utländska direktinvesteringar. [11]
Ett effektivare regelverk för utlännings ärenden med säkerhetsaspekter. [16]
En ny myndighet för att stärka det psykologiska försvaret. [29]
Grundlagsskadestånd – ett rättighetsskydd för enskilda. [44]
Ett ändamålsenligt skydd för tryck- och yttrandefriheten. [45]
En ny lag om konsumentskydd vid köp och vissa andra avtal. [51]
En långsiktigt hållbar migrationspolitik. [54]
Ett särskilt hedersbrott. [57]
Kulturdepartementet
Sveriges museum om Förintelsen.
+Holocaust Remembrance and Representation. Documentation from a Research Conference. [21]
Högre växel i minoritetspolitiken. Stärkt samordning och uppföljning. [27]
Det demokratiska samtalet i en digital tid. Så stärker vi motståndskraften mot desinformation, propaganda och näthat. [56]
Miljödepartementet
Hållbar slamhantering. [3]
Vägen till en klimatpositiv framtid. [4]
Kunskapsläget på kärnavfalls- området 2020. Steg för steg. Var står vi? Vart går vi? [9]
Stärkt lokalt åtgärdsarbete – att nå målet Ingen övergödning. [10]
Kärnavfallsrådets yttrande över SKB:s
Näringsdepartementet
Brott mot djur – Skärpta straff och ett mer effektivt sanktionssystem. [7]
Att kriminalisera överträdelser av
Personuppgiftsbehandling vid antals- beräkning inför klinisk forskning. [53]
Socialdepartementet
Översyn av yrket personlig assistent – ett viktigt yrke som förtjänar bra villkor. [1]
En begriplig och trygg sjukförsäkring med plats för rehabilitering. [6]
Framtidens teknik i omsorgens tjänst. [14]
Strukturförändring och investering
i hälso- och sjukvården – lärdomar från exemplet NKS. [15]
God och nära vård. En reform för ett hållbart hälso- och sjukvårdssystem. [19]
Hälso- och sjukvård i det civila försvaret
–underlag till försvarspolitisk inriktning. [23]
Tillsammans för en välfungerande sjuk- skrivnings- och rehabiliteringsprocess. [24]
En sjukförsäkring anpassad efter individen. [26]
Grundpension. Några anslutande frågor. [32]
Ett nationellt sammanhållet system för kunskapsbaserad vård
– ett system, många möjligheter. [36]
Hållbar socialtjänst. En ny socialtjänstlag. Del 1 och 2. [47]
Utbildningsdepartementet
En mer likvärdig skola
–minskad skolsegregation och för
bättrad resurstilldelning. [28]
Gemensamt ansvar
–en modell för planering och dimen- sionering av gymnasial utbildning. Del 1 och 2. [33]
Stärkt kvalitet och likvärdighet i fritids- hem och pedagogisk omsorg. [34]
En annan möjlighet till särskilt stöd. Reglering av kommunala resurs- skolor. [42]
Bygga, bedöma, betygssätta
–betyg som bättre motsvarar elevernas kunskaper. [43]
Utrikesdepartementet
Enhetlig och effektiv marknadskontroll. [49]