Sveriges säkerhet
–behov av starkare skydd för nätverks- och informationssystem
BETÄNKANDE AV |
|
CYBERSÄKERHETSUTREDNINGEN |
SOU 2021:63 |
Sveriges säkerhet
–behov av starkare skydd för nätverks- och informationssystem
BETÄNKANDE AV |
|
CYBERSÄKERHETSUTREDNINGEN |
SOU 2021:63 |
Sveriges säkerhet
–behov av starkare skydd för nätverks- och informationssystem
Slutbetänkande av Cybersäkerhetsutredningen
Stockholm 2021
SOU 2021:63
SOU och Ds finns på regeringen.se under Rättsliga dokument.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2003:2 (reviderad
Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck och remisshantering: Elanders Sverige AB, Stockholm 2021
ISBN
ISBN
ISSN
Till statsrådet Peter Hultqvist
Regeringen beslutade den 31 oktober 2019 att tillkalla en särskild ut- redare (dir. 2019:73) med uppdrag att lämna förslag till anpassningar och kompletterande författningsbestämmelser som EU:s cybersäker- hetsakt ger anledning till och att överväga behovet av vissa ytterligare krav på nätverks- och informationssystem till skydd för Sveriges säkerhet.
Den 3 februari 2020 förordnades lagmannen Nils Cederstierna som särskild utredare. Som sakkunniga förordnades den 2 mars 2020 rättssakkunniga Karin Byström, Försvarsdepartementet, ämnesrådet Catharina Hallström, Försvarsdepartementet, ämnesrådet Richard Henriksson, Utrikesdepartementet, departementssekreteraren Linnéa Jannes, Utrikesdepartementet, numera kanslirådet Staffan Lindmark, Infrastrukturdepartementet, numera kanslirådet Emelie Smiding, Justitiedepartementet, och militärsakkunniga Anna Weibull, Försvars- departementet. Samma dag förordnades bedömningsledaren Curt- Peter Askolin, Styrelsen för ackreditering och teknisk kontroll (Swedac), verksjuristen Charlotte Hakelius, Säkerhetspolisen, verk- samhetschefen Ronny Harpe, Myndigheten för samhällsskydd och beredskap (MSB), kommendör
Som sekreterare i utredningen anställdes den 3 februari 2020 hov- rättsassessorn Patrik Roos. Seniora rådgivaren Thomas Wallander anställdes som huvudsekreterare den 10 februari 2020.
Utredningen har tagit namnet Cybersäkerhetsutredningen (Fö 2019:1).
Genom tilläggsdirektiv den 14 maj 2020 förlängdes utrednings- tiden för den del av uppdraget som avser anpassningar med anled- ning av EU:s cybersäkerhetsakt (dir. 2020:57). Den 18 februari 2021 beslutade regeringen i tilläggsdirektiv till utredningen (dir. 2021:10) att förlänga utredningstiden för den del som avser ytterligare krav på verksamheter av betydelse för Sveriges säkerhet.
Utredningen överlämnade delbetänkandet EU:s cybersäkerhetsakt
–kompletterande nationella bestämmelser om cybersäkerhetscertifiering (SOU 2020:58) i september 2020. Härmed överlämnar utredningen slutbetänkandet Sveriges säkerhet – behov av starkare skydd för nätverks- och informationssystem (SOU 2021:63).
Utredningens uppdrag är därmed slutfört.
Stockholm i juli 2021
Nils Cederstierna
/Thomas Wallander
/Patrik Roos
Innehåll
1.1Förslag till lag om ändring i säkerhetsskyddslagen
(2018:585) ............................................................................... |
1.2Förslag till förordning om ändring i
5
InnehållSOU 2021:63
3.4Samlad informations- och cybersäkerhetshandlingsplan
3.5Författningsbestämmelser om informations-
3.5.3Det europeiska ramverket för
3.7Digitaliseringen och kraven på informations-
4.6Digitalisering och informations- och cybersäkerhet
i otakt .................................................................................... |
6
5.3Cybersäkerhet i Sverige – Hot, metoder,
5.5.2Cybersäkerhet – En kartläggning av Sveriges
6.5.4Behörighet att delta i säkerhetskänslig
|
verksamhet ............................................................. |
|
6.6 Särskild säkerhetsskyddsbedömning ................................... |
||
7
InnehållSOU 2021:63
8
SOU 2021:63 |
Innehåll |
7.5.3På vilket sätt är informationssystemet av
|
||
|
||
|
7.5.5Vilka säkerhetskrav gäller för
informationssystemet? .......................................... |
7.5.6Vilka säkerhetsskyddsåtgärder behöver införas
|
|
||
Omvärldsbevakning .............................................................. |
|||
|
|||
|
|||
Utveckling av informationssystem ...................................... |
|||
|
|||
7.7.2Behovet av process för utveckling
7.7.7Säkerhetszoner och kontrollerad
7.9.1Allmänt om funktionstester och
9
InnehållSOU 2021:63
10
11
12
SOU 2021:63 |
Innehåll |
12.5.5Behov av nationell sammanställning över
|
|
12.5.6Det föreligger f.n. inte behov av en nationell
13.3.2Allmänna krav på informationssäkerhet
|
i säkerhetsskyddsregleringen ................................ |
13.3.4Cybersäkerhetscertifiering i enlighet
|
||
|
||
|
||
13.4 Pågående åtgärder för ökad informationssäkerhet ............... |
||
Anmälningsplikt .................................................... |
||
13.4.2Utvidgad samrådsskyldighet och befogenheter
|
|
säkerhetskänslig verksamhet................................. |
|
|
och ingripande möjligheter ................................... |
13.4.4Slutsatser om föreslagna ändringar
i säkerhetsskyddslagen .......................................... |
13.4.5Åtgärder enligt den samlade informations-
13
14
SOU 2021:63Innehåll
Referenser ...................................................................... |
505 |
|
Bilagor |
|
|
Bilaga 1 |
Kommittédirektiv 2019:73 ........................................... |
511 |
Bilaga 2 |
Kommittédirektiv 2020:57 ........................................... |
525 |
Bilaga 3 |
Kommittédirektiv 2021:10 ........................................... |
527 |
Bilaga 4 |
Formell skrivelse........................................................... |
529 |
15
Förkortningar
AI |
Artificiell intelligens |
CC |
Common Criteria |
CCRA |
Common Criteria Recognition Arrangement |
CSEC |
Sveriges certifieringsorgan för |
CERT |
Computer Emergency Response Team |
cPP |
collaborative Protection Profile |
COTS |
Commercial |
CSIRT |
Computer Security Incident Response Team |
DIGG |
Myndigheten för digital förvaltning |
Ds |
Departementsserien |
ENISA |
European Union Agency for Cybersecurity |
EU |
Europeiska Unionen |
EAL |
Evaluation Assurance Level |
FMV |
Försvarets materielverk |
FN |
Förenta nationerna |
FOI |
Totalförsvarets forskningsinstitut |
FRA |
Försvarets radioanstalt |
Fö |
Försvarsdepartementet |
IKT |
Informations- och kommunikationsteknik |
IT |
Informationsteknik |
IVA |
Kungl. Ingenjörsvetenskapsakademien |
|
17 |
FörkortningarSOU 2021:63
LAN |
Local Area Network |
MSB |
Myndigheten för samhällsskydd och bered- |
|
skap |
MUST |
Militära underrättelse- och säkerhetstjänsten |
NATO |
North Atlantic Treaty Organisation |
NCSA |
National Communications Security |
|
Authority |
NDA |
National Distribution Authority |
NSA |
National Security Authority |
OECD |
Organisation on Economic Cooperation and |
|
Development |
PP |
Protection Profile |
Prop. |
Proposition |
PTS |
Post- och telestyrelsen |
RK |
Regeringskansliet |
SAMFI |
Samverkansgruppen för informationssäkerhet |
SIS |
Svenska Institutet för Standarder |
MRA Senior Officials Group Information |
|
|
Systems Security – Mutual Recognition |
|
Agreement |
SOU |
Statens offentliga utredningar |
Swedac |
Styrelsen för ackreditering och teknisk kon- |
|
troll |
ST |
Security target |
Vinnova |
Verket för innovationssystem |
18
Sammanfattning
Uppdraget
Europeiska unionen (EU) har antagit ett antal strategier, policys och förordningar för att stärka cybersäkerheten i unionen och medlems- staterna. Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhets- byrå) och om cybersäkerhetscertifiering av informations- och kom- munikationsteknik och om upphävande av förordning (EU) nr 526/ 2013 (cybersäkerhetsakten) trädde i kraft den 27 juni 2019. Det huvudsakliga syftet med förordningen är att uppnå en hög nivå i fråga om cybersäkerhet, cyberresiliens och förtroende inom unionen och säkerställa en väl fungerande inre marknad. Det europeiska ramverket för cybersäkerhetscertifiering, dvs. EU:s cybersäkerhetsakt och de genomförandeakter som utfärdas med stöd av cybersäkerhetsakten, kommer att reglera den cybersäkerhetscertifiering som följer av en europeisk certifieringsordning för cybersäkerhetscertifiering som fastställts av kommissionen.
Utredningens uppdrag i den första delen var att föreslå de anpass- ningar och kompletterande nationella författningsbestämmelser som EU:s cybersäkerhetsakt ger anledning till och som behöver finnas på plats när förordningen i sin helhet börjar tillämpas den 28 juni 2021. Vidare ingick att även överväga och föreslå vilken befintlig nationell myndighet som ska utses att fullgöra de uppgifter och tilldelas de ansvarsområden som följer av EU:s cybersäkerhetsakt, bl.a. uppdraget att utöva tillsyn över efterlevnaden av det europeiska ramverket för cybersäkerhetscertifiering.
Utredningen överlämnade sitt delbetänkande Kompletterande be- stämmelser till EU:s cybersäkerhetsakt (SOU 2020:25) i september 2020. Regeringen har efter remissbehandling av utredningens delbetän- kande överlämnat proposition 2020/21:186 Kompletterande bestäm-
19
Sammanfattning |
SOU 2021:63 |
melser till EU:s cybersäkerhetsakt till riksdagen och i den lämnat förslag på en ny lag med kompletterande bestämmelser till EU:s cyber- säkerhetsakt. I den föreslagna lagen finns kompletterande nationella bestämmelser om bl.a. nationell myndighet för cybersäkerhetscerti- fiering, tillsyn, sanktioner och förfarandet vid cybersäkerhetscerti- fiering. Riksdagen har den 9 juni 2021 beslutat i enlighet med vad som föreslås i angivna proposition och fattat beslut om att lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt ska träda i kraft den 28 juni 2021. Regeringen har i anslutning till att lagen ska börja tillämpas utsett Försvarets materielverk till nationell myn- dighet för cybersäkerhetscertifiering med de uppgifter som följer av det europeiska ramverket för cybersäkerhethetscertifiering, dvs. EU:s cybersäkerhetsakt och de genomförandeförordningar som ska utfördas med stöd av cybersäkerhetsakten.
Samtidigt kan noteras att åtgärder som bl.a. rör försvar och natio- nell säkerhet faller utanför EU:s kompetens (art. 4.2
Regeringen framhåller i direktiven till utredningen att det måste kunna ställas särskilda krav på säkerhet på nätverks- och informa- tionssystem för att skydda nationell säkerhet och att det finns anledning att nu överväga om ytterligare nationella krav bör införas för att säkerställa att nätverks- och informationssystem som ska an- vändas i säkerhetskänslig verksamhet uppfyller de krav som behövs för att upprätthålla skyddet av sådana verksamheter.
Utredningens uppdrag innefattar därför att bedöma om det finns anledning att införa nationella särskilda krav på att
I uppdraget ingår även att överväga om det finns anledning att införa krav på godkännande från en myndighet för att sådana IKT- produkter,
20
SOU 2021:63 |
Sammanfattning |
I uppdraget ingår att göra en internationell jämförelse av lagstift- ning som innebär särskilda krav med anledning av nationell säkerhet för
För nätverks- och informationssystem som används i eller har betydelse för säkerhetskänslig verksamhet finns i dag särskilda krav i säkerhetsskyddsförordningen (2018:658). Det rör sig bl.a. om för- beredande åtgärder inför driftsättning av informationssystem och om säkerhetskrav som kontinuerligt ställs på informationssystemen. Bestämmelserna innehåller även krav på samråd med Säkerhets- polisen eller Försvarsmakten i de fall informationssystemen kan komma att behandla säkerhetsskyddsklassificerade uppgifter av visst slag och informationssystem där obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig. Be- stämmelserna föreskriver att det är verksamhetsutövaren som an- svarar för att se till att informationssystemen upprätthåller kraven på informationssäkerhet.
Digitaliseringsutvecklingen och kravet på informations- och cybersäkerhet
Digitaliseringen beskrivs som vår tids starkaste förändringsfaktor och innebär att en allt större andel av aktiviteterna i samhället är be- roende av nätverks- och informationssystem som används av myn- digheter, organisationer, företag och privatpersoner. Digitaliser- ingen har skapat nya former av kommunikation, datahantering och datalagring, och som medför stora möjligheter att förbättra och effek- tivisera olika verksamheter.
Digitaliseringen påverkar hela samhället och området kan beskri- vas som horisontellt, bl.a. för att det omfattar alla samhällssektorer. Den pågående globala digitala utvecklingen och i Sverige går på många plan mycket fort och statliga myndigheter, regioner och kommuner och aktörer i näringslivet bedriver sedan många år olika digitaliser- ingsarbeten. I dag bygger många system för att hantera information huvudsakligen på digital informations- och kommunikationsteknik (IKT).
Med den tilltagande globaliseringen och digitaliseringen, som ökar beroenden över
21
Sammanfattning |
SOU 2021:63 |
en ökad betoning på cyberfrågor i samhället. Beroende av digital in- frastruktur och tjänster genom utbredd uppkoppling till internet och anslutna enheter medför ökade sårbarheter vilket ställer högre krav på informations- och cybersäkerhet. Samtidigt som digitala utveck- lingen går snabbt ökar inte informations- och cybersäkerheten i samma takt. Detta gap, och om det ökar ytterligare, medför att ris- kerna för att drabbas av cyberangrepp eller andra
Nya hot, sårbarheter och risker
På samma sätt som digitaliseringen av samhällets olika verksamheter kontinuerligt medför fördelar kan den också föra med sig nya eller förändrade hot, sårbarheter och risker som påverkar informations- och cybersäkerheten i bl.a. nätverks- och informationssystem hos olika verksamhetsutövare. Det innebär att risken för cyberangrepp ökar mot olika samhällsverksamheter, särskilt vad gäller säkerhets- känsliga och andra samhällsviktiga verksamheter, som många har höga skyddsvärden. Hoten kommer främst från statliga aktörer som genomför cyberangrepp i olika syften, bl.a. som förberedelser för cyberangrepp och som industrispionage. Hoten kommer även från kriminella aktörer och ideellt motiverade aktörer, som har förmåga till cyberangrepp för olika syften.
Olika förändringsfaktorer, som utvecklingen av t.ex.
Vidare skapar beroendeförhållanden mellan olika samhällsviktiga verksamheter, t.ex. elektronisk kommunikation och energisektorn, sårbarheter och risker, och cyberangrepp mot en samhällsviktig verk- samhet kan få allvarliga och omfattande följder för en eller flera andra sådana verksamheter och även för totalförsvarets verksamhet.
22
SOU 2021:63 |
Sammanfattning |
Allvarliga brister i informations- och cybersäkerheten
En tillräcklig informations- och cybersäkerhet kan endast uppnås när alla de olika förutsättningar som krävs för en sådan säkerhet är upp- fyllda, dvs. enhetlig styrning och organisering av arbetet med informa- tions- och cybersäkerhet, ett systematiskt informationssäkerhetsarbete i verksamheten och tekniska åtgärder samt tillsyn av efterlevnaden av regelsystem och ställda krav.
Av offentliga utredningar och myndighetsrapporter framkommer att det finns allvarliga brister i informations- och cybersäkerheten på många olika områden inom en rad olika samhällsverksamheter. Detta gäller såväl statliga myndigheters verksamhet som regioner och kom- muner men även organisationer och näringslivet. Av utredningarna och rapporterna framkommer att allvarliga brister finns hos många verksamhetsutövare, både vad avser det systematiska informations- säkerhetsarbetet och vad avser säkerhet i olika nätverks- och infor- mationssystem. Vidare framkommer att det finns allvarliga brister i styrning och organisering, kunskap och kompetens samt resurstill- delning inom området för informations- och cybersäkerhet.
Utredningen gör ingen annan bedömning av redovisade brister i och nivån på informations- och cybersäkerheten än den som redo- visas i de offentliga utredningar och rapporter som offentliggjorts under den senaste femårsperioden och lägger dessa till grund för slut- satsen att det måste anses behövas kraftfulla och omfattande åtgärder på många olika områden för att stärka informations- och cybersäker- heten, dels mer allmänt i samhällets olika verksamheter men särskilt vad avser säkerhetskänsliga och andra samhällsviktiga verksamheter. De allvarliga bristerna innebär uppenbara risker för cyberangrepp mot nätverveks- och informationssystem som kan medföra allvarliga konsekvenser för såväl hela samhället som aktörer inom olika verk- samhetsområden, och som därigenom även kan få allvarliga konse- kvenser för verksamheten i totalförsvaret.
Uppdraget är avgränsat till att överväga om det finns anledning att införa en nationell särskilt anpassad certifieringsordning för IKT- produkter,
23
Sammanfattning |
SOU 2021:63 |
utgör varken tillräckliga åtgärder för att möta generella krav på in- formations- och cybersäkerhet eller ens möta kraven på säkerhet i nätverks- och informationssystem i säkerhetskänslig verksamhet, då även övriga förutsättningar för en fullgod informations- och cyber- säkerhet måste föreligga. Eftersom utredningens uppdrag är inriktat på att överväga de åtgärder som tas upp i utredningsdirektiven har utredningen därför inte närmare övervägt de övriga åtgärder som bör vidtas för att stärka informations- och cybersäkerheten mer allmänt eller i den säkerhetskänsliga verksamheten, utom när det gäller be- hovet av styrning och samordning då dessa behov även utgör grund- läggande förutsättningar för de överväganden som utredningen gör i betänkandet.
Behov av ökad styrning och samordning
Flera offentliga utredningar och rapporter har pekat på behovet av att stärka styrningen och samordningen av digitaliseringen, särskilt när det gäller utbyggnad av infrastruktur och samordning av arbete med informations- och cybersäkerhet. Den nationella marknaden utgör en avreglerad marknad med olika skikt av infrastrukturpro- ducenter, operatörer och tjänsteutvecklare. Sverige är nationellt i en situation där nästan alla grundläggande samhällsfunktioner förut- sätter och bygger på en fungerande digital infrastruktur. Det saknas dock regler och systematik för och samordning av den digitala utveck- lingen och utbyggnaden.
Mot bakgrund av mängden offentliga aktörer är detta en uppgift av betydande omfattning då frågan berör bl.a. fler än 200 statliga förvaltningsmyndigheter, 21 länsstyrelser, 20 regioner, 290 kommu- ner, 80 domstolar, 37 lärosäten, och 40 helägda statliga bolag. Det är en omfattande förvaltning som kompliceras av stora skillnader mellan verksamheterna vad gäller uppdrag, storlek, finansiella resurser och kompetens. Till detta kommer näringslivets verksamheter och alla företag som på något sätt utvecklar, driver och förvaltar samhällets digitala infrastruktur.
Motsvarande gäller det övergripande arbetet med att stärka infor- mations- och cybersäkerheten i samhället i stort men även inom säker- hetskänslig och annan samhällsviktig verksamhet. Varje verksamhets- utövare har ansvar för sin egen informations- och cybersäkerhet, bl.a.
24
SOU 2021:63 |
Sammanfattning |
vad avser säkerhet i nätverks- och informationssystem. Det saknas emellertid i dag tillsyn över såväl statliga myndigheters verksamhet som regioners och kommuners verksamhet avseende nätverks- och informationssystem, utom såvitt avser säkerhetskänslig verksamhet och verksamhet som avser vissa samhällsviktiga och digitala tjänster. Ansvaret för tillsynsverksamhet av informations- och cybersäkerhet på dessa reglerade områden utövas dock av flera olika samråds- och tillsynsmyndigheter med i vissa fall tillämpning av olika regelsystem. Ansvaret för informations- och cybersäkerhet finns således hos många olika aktörer och styrningen och samordningen brister på både statlig, regional och kommunal nivå. Bristen på styrning och samordning medför ökade sårbarheter och risker i nätverks- och in- formationssystem i säkerhetskänsliga och andra samhällsviktiga verk- samheter. Utredningen bedömer att det bl.a. finns behov av nationell styrning och samordning vid framtagande av en gemensam
Bristande förutsättningar för en nationell certifieringsordning för nätverks- och informationssystem i säkerhetskänslig verksamhet
En nationell särskilt anpassad certifieringsordning för
Utredningen bedömer att bestämmelserna i säkerhetsskyddslagen och säkerhetsskyddsförordningen redan ger berörda myndigheter möjlighet att föreskriva att certifierade
En nationell särskilt anpassad ordning för säkerhetskänslig verk- samhet ställer krav på att det finns en nationellt framtagen gemen- sam
25
Sammanfattning |
SOU 2021:63 |
för säkerhetskrav och framtagande av s.k. skyddsprofiler för olika
Vidare är det europeiska ramverket för cybersäkerhetscertifiering under framtagande och utveckling. Det råder dock i dag oklarhet om i vilken omfattning som certifierade
Det råder även osäkerhet om det finns marknadsmässiga förut- sättningar att införa en nationell särskilt anpassad certifieringsordn- ing för säkerhetskänslig verksamhet då den svenska marknaden bedöms vara allt för liten för att företag ska få ekonomiska incita- ment för att låta certifiera
Härtill kommer att det nationella certifieringsorganet CSEC vid Försvarets materielverk redan i dag ansvarar för en nationell ordning för certifiering av
Sammantaget gör utredningen bedömningen att det för närvarande inte föreligger tillräckliga skäl att föreslå att det införs en nationell särskilt anpassad certifieringsordning för
Det finns dock behov av att berörda myndigheter gemensamt tar fram
26
SOU 2021:63 |
Sammanfattning |
olika
Utredningen föreslår därför att regeringen ger Försvarets mate- rielverk (FMV) i uppdrag att, i samråd och samverkan med främst de myndigheter som ingår i det nationella cybersäkerhetscentret, ut- veckla formerna för hur gemensamt framtagna
Utredningen bedömer vidare att informations- och cybersäker- heten i statliga myndigheters verksamhet i övrigt behöver stärkas. Åtgärder bör därför vidtas som bidrar till att myndigheterna använ- der certifierade
Utvidgad samrådsskyldighet och möjligheter att besluta åtgärdsföreläggande och förbud mot driftsättning av informationssystem i säkerhetskänslig verksamhet
Med utgångspunkt i utredningsdirektiven och mot bakgrund av de allvarliga brister i informations- och cybersäkerheten som framkom- mer av offentliga utredningar och myndighetsrapporter, finner utred- ningen skäl att överväga ett antal åtgärder som berör driftsättning och väsentlig förändring av informationssystem i säkerhetskänslig verksamhet. Det rör sig bl.a. om kontrollstationer såsom krav på god- kännande, särskild säkerhetsskyddsbedömning, lämplighetsprövning, samråd, förelägganden och förbud.
27
Sammanfattning |
SOU 2021:63 |
Utredningen kan konstatera att ett eventuellt införande av krav på att informationssystem som behandlar hemliga och/eller kvalifi- cerat hemliga uppgifter ska godkännas av en utpekad central myn- dighet innan driftsättning, kan bidra till att stärka skyddet av in- formationssystem som har betydelse för säkerhetskänslig verksam- het. Denna typ av godkännandeförfarande är vanligt förekommande i andra länder och kan i sig anses utgöra en rimlig åtgärd för att stärka skyddet för nationell säkerhet.
Utredningen bedömer att nu pågående lagstiftningsåtgärder, där- ibland de av regeringen föreslagna ändringarna i säkerhetsskydds- lagen (prop. 2020/21:194), inte kan likställas med ett formellt myn- dighetsgodkännande och inte heller kan anses utgöra tillräckliga åtgärder för att skydda informationssystemen i säkerhetskänslig verk- samhet. Ett krav på formellt förhandsgodkännande från en central myndighet torde i och för sig medföra en oberoende tredjeparts- bedömning som bidrar till skapandet av en minimistandard för kon- troll av säkerhet och mer enhetliga säkerhetskrav hos verksamhets- utövarna.
Utredningen gör samtidigt bedömningen att ett nationellt införande av ett generellt krav på myndighetgodkännande av informations- system i säkerhetskänslig verksamhet medför ett betydande behov av omorganisering och ökade resurser hos samråds- och tillsyns- myndigheter. Vidare skulle ett sådant krav på godkännande behöva utformas i linje med övriga krav på säkerhetsskydd för informations- system, vilket alltjämt medför att en stor mängd säkerhetskänslig information, om än på lägre nivå, faller utanför regleringen. Innan införandet av ett krav på godkännande övervägs ytterligare bör där- för utvärderas om redan föreslagna författningsändringar på säker- hetsskyddsområdet i förening med en stärkt samrådsroll för Säker- hetspolisen och Försvarsmakten utgör tillräckliga åtgärder när det gäller informationssystem i säkerhetskänslig verksamhet (se nedan). Till detta kommer att vissa centrala myndigheter redan inom befint- liga mandat kan föreskriva om bl.a. krav på certifierade
28
SOU 2021:63 |
Sammanfattning |
Ett utvidgat samrådsförfarande och utökade befogenheter
För att göra användningen av ett informationssystem i säkerhets- känslig verksamhet säkrare, och därmed stärka skyddet för Sveriges säkerhet, föreslår utredningen ändringar i säkerhetsskyddslagen. Föreslagna ändringar innebär bl.a. följande åtgärder.
–Säkerhetsskyddsförordningens bestämmelser om förberedande åtgärder inför driftsättning av informationssystem ska överföras till säkerhetsskyddslagen.
–Befintligt krav på verksamhetsutövare att göra en särskild säker- hetsskyddsbedömning utvidgas till att även omfatta planerade väsentliga förändringar av informationssystem som kan ha bety- delse för säkerhetskänslig verksamhet.
–Verksamhetsutövare ska pröva lämpligheten av en planerad drift- sättning eller väsentlig förändring av informationssystem som har betydelse för säkerhetskänslig verksamhet. Om lämplighetspröv- ningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt ska det inte inledas.
–Lämplighetsprövningen ska, liksom den särskilda säkerhetsskydds- bedömningen, dokumenteras.
–I fall verksamhetsutövarens lämplighetsprövning leder till bedöm- ningen att det planerade förfarandet inte är olämpligt från säker- hetsskyddssynpunkt ska verksamhetsutövaren – om övriga rekvi- sit för samråd är uppfyllda – samråda med samrådsmyndigheten (Säkerhetspolisen eller Försvarsmakten).
–Verksamhetsutövares skyldighet att, inför driftsättning eller väsent- lig förändring av vissa informationssystem, samråda med Säker- hetspolisen eller Försvarsmakten ska inte begränsas till att ske i form av en skriftlig process.
–Säkerhetspolisen och Försvarsmakten ska, i egenskap av samråds- myndigheter enligt säkerhetsskyddslagen, få inleda samråd och inom ramen för ett samråd besluta åtgärdsföreläggande mot verk- samhetsutövaren att vidta en säkerhetsskyddsåtgärd i berört in- formationssystem.
–Samrådsmyndigheterna ska även få möjlighet att förbjuda en ur säkerhetsskyddssynpunkt olämplig driftsättning eller förändring
29
Sammanfattning |
SOU 2021:63 |
av informationssystem och besluta sanktionsavgift mot den som åsidosätter samrådsskyldigheten eller agerar i strid med meddelat förbud.1
–Tillsynsmyndigheterna får en ny undersökningsbefogenhet genom möjligheten att, vid äventyr av vite, få tillgång till verksamhets- utövares informationssystem.
Konsekvenser
Utredningen bedömer att skyddet för Sveriges säkerhet stärks genom förslagen.
Utredningens förslag att Försvarets materielverk (FMV) ska ges i uppdrag att i samråd och samverkan med andra myndigheter och aktörer ta fram formerna för arbetet med en nationell gemensam
För de verksamhetsutövare som kommer att träffas av övriga för- slag kan de medföra vissa administrativa bördor och ökade kostnader som bedöms vara begränsade, främst när det gäller det utvidgade samrådsförfarandet.
Förslagen innebär även vissa ökade förvaltningskostnader för de myndigheter som kommer att vara samrådsmyndigheter (Säkerhets- polisen och Försvarsmakten). Dessa kostnader är främst beroende av i vilken omfattning som samråd kommer att ske och är i dag svåra att uppskatta. Eventuella kostnader bedöms emellertid vara begrän- sade och kunna rymmas inom befintlig anslagsram och förväntat utökat anslag (se prop. 2020/21:30). Förslagen bedöms också med- föra ökat behov av samverkan mellan samråds- och tillsynsmyn- digheter som kan generera vissa begränsade kostnader, vilka bedöms kunna rymmas inom myndigheternas anslag.
1De utökade befogenheterna motsvarar i allt väsentligt vad som föreslås gälla (prop. 2021/21:194) för tillsynsmyndigheter vid verksamhetsutövares anskaffning och överlåtelse av säkerhets- känslig verksamhet. När det gäller verksamhetsutövarens skyldigheter är dock särskilt långt- gående krav på säkerhet motiverade vid just driftsättning och väsentlig förändring av informa- tionssystem som kan komma att behandla säkerhetsklassificerade uppgifter.
30
SOU 2021:63 |
Sammanfattning |
Förslaget om en ny undersökningsbefogenhet för tillsynsmyn- digheterna ökar möjligheten till effektiv tillsyn och bedöms inte på- verka kostnaderna för tillsynsmyndigheterna i nämnvärd utsträckning.
Förslaget om att tillsynsmyndigheterna ska ha rätt att få tillgång till verksamhetsutövares informationssystem kan leda till att Krono- fogdemyndighetens hjälp behövs vid ett antal tillfällen, men ökningen bedöms inte bli särskilt stor och förväntas inte påverka myndighe- tens verksamhet mer än att konsekvenserna kan hanteras inom be- fintliga anslag för myndigheten.
Också den nya bestämmelsen om sanktionsavgift kan komma att bidra till en ökad efterlevnad av regelsystemet och effektivare tillsyn samt i begränsad omfattning öka antalet indrivningsärenden hos Kronofogdemyndigheten.
Vidare medför förslagen i fråga om överklagande av samrådsmyn- dighetens beslut att de allmänna förvaltningsdomstolarna får något ökad måltillströmning och därmed fler arbetsuppgifter. Utredningen bedömer emellertid att ökningen av antalet mål kommer att bli be- gränsad och att kostnadsökningarna för domstolarna bör rymmas inom befintliga anslagsramar.
Förslagen påverkar i viss mån den kommunala självstyrelsen. Den föreslagna regleringen går dock inte utöver vad som är nödvändigt för att skydda de mest skyddsvärda verksamheterna i samhället.
Även om någon ny kriminalisering inte föreslås kan förslagen antas ha vissa brottsförebyggande effekter. Eftersom de utökade befogenheterna torde underlätta för Säkerhetspolisens brottsbekäm- pande verksamhet på säkerhetsskyddsområdet, och då skärpta krav ställs för driftsättning respektive förändring av informationssystem i säkerhetskänslig verksamhet, bedöms förslagen bl.a. motverka data- intrång.
Utredningen bedömer att nu nämnda förslag, utöver vad som anförts ovan, inte berör andra områden som anges i 15 § kommitté- förordningen. Förslagen och bedömningarna i övrigt, bl.a. att certi- fierade
31
Summary
Remit
The European Union (EU) has adopted a number of strategies, policies and regulations to strengthen cybersecurity in the EU and its Member States. Regulation (EU) 2019/881 of the European Parlia- ment and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communica- tions technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) entered into force on 27 June 2019. The main purpose of this Regulation is to achieve a high level of cybersecurity, cyber resilience and trust within the Union, and to support the proper functioning of the internal market. The European cybersecurity certification framework, i.e. the EU Cybersecurity Act and implementing acts issued pursuant to the Cybersecurity Act, will regulate cybersecurity certification ensuing from a European cyber- security certification scheme laid down by the Commission.
The Inquiry’s remit for this first part consisted of proposing the adaptations and supplementary national statutory provisions neces- sitated by the EU Cybersecurity Act and which must be in place when the entire Regulation begins to apply on 28 June 2021. The remit also included considering and proposing which existing national authority should be designated to perform the tasks and be assigned the areas of responsibility ensuing from the Cybersecurity Act, in- cluding the task of supervising compliance with the European cyber- security certification framework.
The Inquiry submitted its interim report, Supplementary provi- sions to the EU Cybersecurity Act (SOU 2020:25) in September 2020. Subsequent to the Interim Report of the Inquiry being circulated for comment, the Government has submitted a Bill 2020/21:186 Kom- pletterande bestämmelser till EU:s cybersäkerhetsakt [Supplementary
33
Summary |
SOU 2021:63 |
provisions to the EU Cybersecurity Act] to the Riksdag proposing a new act containing supplementary provisions to the EU Cyber- security Act. The proposed act includes supplementary national provi- sions on a national authority for cybersecurity certification, super- vision, fines, and the procedure for cybersecurity certification. On 9 June 2021, the Riksdag passed the government bill and decided that the Act with supplementary provisions to the EU Cybersecurity Act will enter into force on 28 June 2021. In connection with the act entering into force, the Government has designated the Swedish Defence Materiel Administration (FMV) as the national authority for cybersecurity certification with the tasks ensuing from the European cybersecurity certification framework, i.e. the EU Cyber- security Act and the implementing regulations to be issued with the support of the Cybersecurity Act.
At the same time, it should be noted that measures relating to areas such as defence and national security fall outside the com- petences of the EU (Article 4(2) of the EU Treaty). Article 1(2) of the EU Cybersecurity Act therefore states that the Regulation is without prejudice to the competences of the Member States regard- ing activities concerning public security, defence, national security and the activities of the State in areas of criminal law.
In the terms of reference of the Inquiry, the Government stresses that it must be possible to impose special security requirements on network and information systems in order to protect national security and that there is now reason to consider whether additional national requirements should be introduced to ensure that network and in- formation systems that will be used in
The Inquiry’s remit therefore includes assessing whether there is reason to introduce national special requirements that ICT products, services and processes which are part of a network and information system that will be used in
The remit also includes considering whether there is reason to introduce administrative approval requirements for such ICT products, services and processes before they may be deployed in certain or all
34
SOU 2021:63 |
Summary |
The remit includes an international comparison of legislation that entails special national security requirements on ICT products, services and processes that are part of a network or information system in countries deemed to be of interest.
For network and information systems used in or of importance to
The growth of digitalisation and the requirement on information security and cybersecurity
Digitalisation is described as the most powerful force for change in our time and has resulted in a growing proportion of societal activities becoming dependent on networks and information systems, which are used by government agencies, organisations, companies and private individuals. Digitalisation has created new forms of communication, data processing and data storage that offer major opportunities to improve and streamline different activities.
Digitalisation affects the whole of society and this area can be described as horizontal in that it covers all sectors of society. Digital transformation is progressing very rapidly on many levels, globally as well as in Sweden, and central government authorities, regions, municipalities and actors in the business community have been pursuing various digitalisation projects for many years. Today, many information processing systems are based primarily on digital informa- tion and communications technology (ICT).
Following in the wake of increasing globalisation and digitalisa- tion, which increase dependencies over national and sectoral borders
35
Summary |
SOU 2021:63 |
and across areas of responsibility, is also an increased focus on cyber issues in society. Dependency on digital infrastructure and services through widespread Internet connectivity and connected devices results in increased vulnerability, which places higher demands on information security and cybersecurity. Even though digital trans- formation is progressing rapidly, information security and cyber- security are not keeping pace. This gap, and if it increases further, also increases the risk of being subjected to
New threats, vulnerabilities and risks
Just as the digitalisation of society’s various activities continues to bring benefits, it can also bring with it new or changed threats, vulnerabilities and risks which can have an impact on information security and cybersecurity in the network and information systems of various operators. This means that the risk of
Various factors that can cause significant change, such as the development of 5G systems, cloud services, artificial intelligence and quantum computers, bring with them new opportunities, but also increased vulnerabilities and risks that can be exploited and cause harm to various
Furthermore, dependencies between various essential services and activities, such as electronic communications and the energy sector, create vulnerabilities and risks, and
36
SOU 2021:63 |
Summary |
Serious shortcomings in information security and cybersecurity
Adequate information security and cybersecurity can only be achieved when all the different conditions required for such security are met: uniform governance of information security and cybersecurity measures and how they are organised; systematic information security work in activities and technical measures; and supervision of com- pliance with the regulations and set requirements.
It has emerged from Swedish Government Official Reports and government agency reports that there are serious shortcomings in information security and cybersecurity in many different areas in a range of societal activities. This includes the activities of central government authorities as well as the regions and municipalities, but also the activities of organisations and the business community. It has emerged from Swedish Government Official Reports and govern- ment agency reports that there are serious shortcomings within the activities of many operators, both in terms of systematic informa- tion security work and the security of various network and informa- tion systems. Furthermore, there are serious shortcomings in gover- nance and how information security is organised, as well as know- ledge and skills and resource allocation in the area of information security and cybersecurity.
The Inquiry makes no other assessment of the identified short- comings in and level of information security and cybersecurity than that which is described in the Swedish Government Official Reports and government agency reports published over the last five years, and these have been the foundation for the conclusion that a need for powerful and comprehensive measures in many different areas to strengthen information security and cybersecurity must be deemed to exist; on the one hand, more generally in various societal activities, but in particular with regard to
The remit is limited to considering whether there is reason to introduce a specially adapted national certification scheme for ICT
37
Summary |
SOU 2021:63 |
products, services and processes in network and information systems in
Need for increased governance and coordination
Swedish Government Official Reports and government agency reports have highlighted the need to strengthen the governance and coordina- tion of digitalisation, in particular with regard to the expansion of infrastructure and the coordination of work with information security and cybersecurity. The national market is a deregulated market with different layers of infrastructure producers, operators and service developers. Nationally, Sweden is in a situation where almost all basic social functions presuppose and are based on a functioning digital infrastructure. However, rules and a systematic approach to and co- ordination of the digital transformation and its expansion are lacking.
In view of the large number of public actors, this is a considerable task, since the matter concerns, among others, more than 200 central government administrative authorities, 21 county administrative boards, 20 regions, 290 municipalities, 80 courts, 37 higher education institu- tions, and 40 wholly
38
SOU 2021:63 |
Summary |
all companies that develop, operate and manage society’s digital infra- structure in some way.
The same applies to the overall work to strengthen information security and cybersecurity in society at large, but also in security- sensitive activities and other essential services. Each operator is responsible for their own information security and cybersecurity, including the security of their network and information systems. However, there is currently no supervision of either the activities of central government authorities or those of the regions and munic- ipalities in the area of network and information systems, except in the area of national security and activities relating to certain essential and digital services. However, supervision of information security and cybersecurity in these regulated areas is exercised by a number of responsible consultation and supervisory authorities with, in some cases, the application of different regulations. Responsibility for in- formation security and cybersecurity thus lies with many different actors, and governance and coordination are lacking at the central, regional and municipal levels. The lack of governance and coordina- tion increases the vulnerability of and risks in network and informa- tion systems in
Insufficient conditions for a national certification scheme for network and information systems
of importance to national security
A specially adapted national certification scheme for ICT products, services and processes used in network and information systems in
The Inquiry considers that the provisions in the Protective Security Act and the Protective Security Ordinance already give the relevant authorities the powers to prescribe the use of certified ICT
39
Summary |
SOU 2021:63 |
products, services and processes that meet certain security require- ments in network and information systems in
A specially adapted scheme for
Furthermore, the European cybersecurity certification frame- work is still in the process of being produced and developed. How- ever, there is currently a lack of clarity on the extent to which certified ICT products, services and processes will be available under this frame- work, including ICT products, services and processes at the highest assurance level, that can also be used – if necessary after adaptation – in
There is also uncertainty as to whether the market conditions exist for introducing a specially adapted national certification scheme for
In addition, the national certification body CSEC of the Swedish Defence Materiel Administration is already responsible for a national scheme for the certification of IT security in products and systems, although the national Common
All in all, the Inquiry considers that there are currently insuffi- cient grounds for proposing the introduction of a specially adapted
40
SOU 2021:63 |
Summary |
national certification scheme for ICT products, services and pro- cesses used in network and information systems in
However, there is a need for affected government agencies to produce joint threat, vulnerability and risk assessments and protec- tion profiles for the ICT products, services and processes to be used in network and information systems in
The Inquiry therefore proposes that, in consultation and coopera- tion with the government agencies that are part of the nationellt cybersäkerhetscenter [national cybersecurity centre] in particular, the Government tasks the Swedish Defence Materiel Administration (FMV) with developing the forms for how common threat, vul- nerability and risk assessments and protection profiles can be pro- duced to support prescribing requirements on ICT products, services and processes to be used in network and information systems in
Furthermore the Inquiry considers that information security and cybersecurity in the activities of central government authorities in general need to be strengthened. Measures should therefore be taken that contribute to the use of certified ICT products, services and processes in network and information systems by government agencies in their activities unless this seems inappropriate or impos- sible to implement. The Swedish Civil Contingencies Agency (MSB) is already judged to have the authority to specify such requirements for central government authorities in regulations. Such a system could also contribute knowledge and experience about the needs and uses of certified ICT products, services and processes in network and information systems in public sector activities and also serve as the basis for work with threat, vulnerability and risk assessments at the national level, which the Inquiry proposes should be implemented.
41
Summary |
SOU 2021:63 |
Expanding the consultation requirement and powers to issue remedial orders and prohibitions in relation to the deployment of information systems in security- sensitive operations
Based on the terms of reference of the Inquiry and in light of the serious shortcomings in information security and cybersecurity that have emerged from Swedish Government Official Reports and government agency reports, the Inquiry finds that there is reason to consider a number of measures relating to the deployment of and substantial changes in information systems in
The Inquiry can conclude that introducing requirements on in- formation systems that process secret and/or top secret information to be approved by a designated central government agency prior to deployment could help to strengthen the protection of information systems of importance to national security. This type of approval procedure is common in other countries and can in itself be regarded as a reasonable measure for strengthening the protection of national security.
The Inquiry considers that the ongoing legislative measures, in- cluding the amendments proposed by the Government to the Pro- tective Security Act (Govt Bill 2020/21:194), cannot be equated with a formal administrative approval, nor can they be considered to constitute sufficient measures to protect information systems in
At the same time, the Inquiry assesses that the introduction nationally of a general requirement for administrative approval of information systems in
42
SOU 2021:63 |
Summary |
which would still mean that a large amount of
An expanded consultation procedure and greater powers
In order to make the use of an information system in security- sensitive activities more secure, and thereby strengthen the protec- tion of Sweden’s security, the Inquiry proposes amendments to the Protective Security Act. The proposed amendments include the following measures.
–The provisions of the Protective Security Ordinance on preparatory measures prior to the deployment of information systems should be transferred to the Protective Security Act.
–Existing requirements on operators to perform a special security assessment are extended to also cover planned substantial changes in information systems that may be of importance to security- sensitive activities.
–Operators are to examine the suitability of a planned deployment of or substantial change in an information system that is of im- portance to
–The suitability assessment, as well as the special security assess- ment, must be documented.
43
Summary |
SOU 2021:63 |
–If the operator’s suitability assessment leads to an assessment that the intended procedure is not unsuitable from a protective security point of view, the operator – provided that other necessary prerequisites for consultation are met – is to consult with the consultation authority (the Swedish Security Service or the Swedish Armed Forces).
–The operator’s requirement to consult with the Swedish Security
Service or the Swedish Armed Forces prior to the deployment of, or a substantial change in, certain information systems, should not be limited to a written process.
–In their capacity as consultation authorities under the Protective Security Act, the Swedish Security Service and the Swedish Armed Forces are to be permitted to initiate consultation and within the context of a consultation to issue remedial orders to the operator to take a protective security measure in the information system.
–The consultation authorities are to also be given the power to prohibit a deployment of, or change in, an information system that is unsuitable from a protective security point of view, and to impose an administrative fine on a person who fails to comply with the consultation requirement, or acts in contravention of a prohibition that has been issued.1
–The supervisory authorities are given a new power of investiga- tion through the possibility, under penalty of a fine, of gaining access to operators’ information systems.
Consequences
The Inquiry assesses that its proposals strengthen the protection of Sweden’s security.
The Inquiry’s proposal that the Swedish Defence Materiel Admin- istration (FMV), in consultation and collaboration with other author- ities, should be given the task of developing the forms for a common threat, vulnerability and risk assessment at national level entails
1The expanded powers correspond in substance to what is proposed to apply (Govt Bill 2021/ 21:194) for supervisory authorities when operators acquire and transfer ownership of security- sensitive activities. However, with regard to requirements on the operator, especially far- reaching security requirements are justified in particular in connection with the deployment of, and substantial changes in, information systems which may process classified information.
44
SOU 2021:63 |
Summary |
certain costs. Due to these costs, FMV's appropriations should be increased. Any costs for other authorities are assessed to be within the existing appropriations.
For the operators who will be affected by the proposals, they may entail certain administrative burdens and increased costs, particularly in respect of the expanded consultation procedure, which are assessed as being limited.
The proposals also entail certain increased administrative costs for the authorities that will be the consultation authorities (the Swedish Security Service and the Swedish Armed Forces). These costs will depend primarily on the extent to which consultations will take place and are currently difficult to estimate. However, any costs are assessed as being limited and able to be accommodated within the existing appropriation framework and the anticipated increased appropria- tion (see Govt Bill 2020/21:30). Furthermore, the proposals are ex- pected to lead to an increased need for collaboration between the consultation and supervisory authorities, which may generate limited costs. These costs are assessed as being accommodated within the authorities’ appropriations.
The proposal for a new power of investigation for the supervisory authorities increases the chances of effective supervision and is not considered to have any significant impact on the costs for the super- visory authorities.
The proposal that the supervisory authorities should have the right to gain access to operators’ information systems may lead to the need for assistance from the Swedish Enforcement Authority on a number of occasions, but the increase is not assessed as being particularly great and is not anticipated to affect the Authority’s activities more than that the consequences can be accommodated within the existing appropriation for the Authority.
The new provision on an administrative fine may also contribute to increased compliance with the regulations and more effective supervision, and to a limited extent increase the number of enforce- ment cases at the Swedish Enforcement Authority.
Furthermore, the proposals concerning appeals against the deci- sions of the consultation authority mean that the administrative courts may have a slightly higher influx of cases and thus more tasks. However, the Inquiry assesses that the increase in the number of cases will be limited and that the increase in costs for the courts
45
Summary |
SOU 2021:63 |
ought to be accommodated within the existing appropriation frame- works.
The proposals affect municipal
Even if no new criminalisation is proposed, the proposals can be assumed to have some crime prevention effects. Since the increased powers ought to facilitate the Swedish Security Service’s law enforce- ment activities in the area of protective security, and since more stringent requirements are imposed on the deployment of, and changes in, information systems in
Beyond what has been stated above, the Inquiry assesses that the aforementioned proposals do not concern other areas specified in section 15 of the Committees Ordinance. The proposals and assess- ments otherwise, including that certified ICT products, services and processes should be used by government agencies to a greater extent, are assessed to have no consequences that need to be reflected in more detail in the impact assessment.
46
1 Författningsförslag
1.1Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)
Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585) dels att 6 kap. 3 och 4 §§, 7 kap. 9 § samt 8 kap. 4 § ska ha följande
lydelse,
dels att det ska införas ett nytt kapitel, 3 a kap., och en ny para- graf, 7 kap. 2 a §, av följande lydelse.
3 a kap. Skyldigheter inför driftsättning av informationssystem
1 § Innan ett informationssystem som har betydelse för säkerhets- känslig verksamhet tas i drift, eller i väsentliga avseenden förändras, ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedöm- ning ta ställning till vilka säkerhetskrav i informationssystemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses.
Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om drift- sättningen eller förändringen av informationssystemet är lämplig från säkerhetsskyddssynpunkt. Verksamhetsutövaren ska också samråda enligt 2 §.
Den särskilda säkerhetsskyddsbedömningen och lämplighetspröv- ningen ska dokumenteras.
Om lämplighetsprövningen leder till bedömningen att det plane- rade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.
47
Författningsförslag |
SOU 2021:63 |
2 § Om lämplighetsprövningen enligt 1 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskydds- synpunkt, ska verksamhetsutövaren samråda med den myndighet som regeringen bestämmer (samrådsmyndigheten), innan ett informations- system som kan förutses komma att behandla säkerhetsskyddsklassi- ficerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre tas i drift, eller i väsentliga avseenden förändras.
Samrådsskyldigheten gäller även i fråga om andra informations- system än sådana som anges i första stycket, om obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig.
Samrådsmyndigheten får besluta att förelägga verksamhetsutöva- ren att vidta åtgärder enligt denna lag och föreskrifter som har med- delats i anslutning till lagen.
3 § Om verksamhetsutövaren inte samråder med samrådsmyndig- heten trots att det finns en skyldighet att göra det, får samrådsmyn- digheten inleda samrådet.
4 § Ett informationssystem som ska användas i säkerhetskänslig verksamhet får inte tas i drift förrän det har godkänts från säkerhets- skyddssynpunkt av verksamhetsutövaren. Godkännandet ska doku- menteras.
5 § Om ett beslut om föreläggande enligt 2 § inte följs eller om det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får samrådsmyndigheten besluta att driftsättningen eller förändringen av informationssystemet inte får genomföras (förbud).
Lydelse enligt proposition |
Föreslagen lydelse |
2020/21:194 |
|
6 kap.
3 §
Tillsynsmyndigheten har i den |
Tillsynsmyndigheten har i den |
omfattning som det behövs för |
omfattning som det behövs för |
tillsynen rätt att få tillträde till |
tillsynen rätt att få tillgång till |
områden, lokaler och andra ut- |
informationssystem och tillträde |
48
SOU 2021:63 |
Författningsförslag |
rymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.
4 §
Tillsynsmyndigheten får be- sluta att förelägga den som står under tillsyn att tillhandahålla information och ge tillträde en- ligt 2 och 3 §§. Ett sådant beslut om föreläggande får förenas med vite.
till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.
Tillsynsmyndigheten får be- sluta att förelägga den som står under tillsyn att tillhandahålla information och ge tillgång eller tillträde enligt 2 och 3 §§. Ett sådant beslut om föreläggande får förenas med vite.
7 kap.
2 a § Samrådsmyndigheten får be-
sluta att ta ut en sanktionsavgift av en verksamhetsutövare som
1. har åsidosatt sin skyldighet enligt 3 a kap. 2 § första och andra stycket,
2. har driftsatt eller förändrat ett informationssystem i strid med ett förbud som har meddelats med stöd av 3 a kap. 5 §, eller
3. har lämnat oriktiga upp- gifter i samband med samråd en- ligt 3 a kap. 2 §.
9 §
En sanktionsavgift ska be- talas till tillsynsmyndigheten inom 30 dagar från det att be- slutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
49
Författningsförslag |
SOU 2021:63 |
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verk- ställighet ske enligt utsökningsbalken.
En sanktionsavgift tillfaller staten.
8 kap.
4 §
Beslut om föreläggande enligt |
Beslut om föreläggande enligt |
4 kap. 9 och 15 §§ och 6 kap. 4 och |
3 a kap. 2 §, 4 kap. 9 och 15 §§ och |
6 §§ eller sanktionsavgift enligt |
6 kap. 4 och 6 §§ eller sanktions- |
7 kap. 1 och 2 §§ får överklagas |
avgift enligt 7 kap. 1, 2 och 2 a §§ |
till Förvaltningsrätten i Stockholm. |
eller beslut om förbud enligt 3 a kap. |
När ett sådant beslut överklagas |
5 § får överklagas till Förvalt- |
är tillsynsmyndigheten motpart. |
ningsrätten i Stockholm. När ett |
Prövningstillstånd krävs vid över- |
sådant beslut överklagas är sam- |
klagande till kammarrätten. |
råds- eller tillsynsmyndigheten |
|
motpart. Prövningstillstånd krävs |
|
vid överklagande till kammar- |
|
rätten. |
Beslut om förbud enligt 4 kap. 11, 17 och 18 §§ och föreläggande enligt 4 kap. 12 och 19 §§ får överklagas till regeringen.
Andra beslut enligt denna lag får inte överklagas.
1.Denna lag träder i kraft den 1 juli 2022.
2.Äldre föreskrifter gäller fortfarande för ärenden om samråd som har inletts före ikraftträdandet.
3.En sanktionsavgift enligt 7 kap. 2 a § får beslutas endast för överträdelser som skett efter ikraftträdandet.
50
SOU 2021:63 |
Författningsförslag |
1.2Förslag till förordning om ändring i säkerhetsskyddsförordningen (2018:658)
Härigenom föreskrivs i fråga om säkerhetsskyddsförordningen (2018:658)
dels att 3 kap. 1 § ska ha följande lydelse,
dels att 3 kap. 2 och 3 §§ ska upphöra att gälla.
Nuvarande lydelse |
Föreslagen lydelse |
3kap. 1 §
Innan ett informationssystem |
Säkerhetspolisen och Försvars- |
som har betydelse för säkerhets- |
makten är samrådsmyndigheter en- |
känslig verksamhet tas i drift ska |
ligt säkerhetsskyddslagen (2018:585) |
verksamhetsutövaren genom en |
inom sina respektive tillsynsom- |
särskild säkerhetsskyddsbedömning |
råden. |
ta ställning till vilka säkerhetskrav |
|
i systemet som är motiverade och |
|
se till att säkerhetsskyddet utformas |
|
så att dessa krav tillgodoses. Säker- |
|
hetsskyddsbedömningen ska doku- |
|
menteras. |
|
Denna förordning träder i kraft den 1 juli 2022.
51
2 Uppdraget
2.1Inledning
Cybersäkerhetsutredningens uppdrag består av två delar, dels att ana- lysera och lämna förslag på kompletterande nationella bestämmelser till EU: cybersäkerhetsakt, dels överväga om det finns behov av att stärka säkerheten i nätverks- och informationssystem i säkerhets- känslig verksamhet.
Uppdragets första del har fullgjorts i och med att delbetänkandet EU:s cybersäkerhetsakt – kompletterande nationella bestämmelser om cybersäkerhetscertifiering (SOU 2020:58) överlämnades till statsrådet Peter Hultqvist, Försvarsdepartementet, i september 2020.
I detta slutbetänkande behandlas uppdragets andra del, dvs. över- väganden och förslag när det gäller frågan om det finns behov av att stärka säkerheten i nätverks- och informationssystem i säkerhets- känslig verksamhet.
2.2Bakgrund
Digitaliseringen beskrivs som vår tids starkaste förändringsfaktor och innebär att en allt större andel av aktiviteterna i samhället är bero- ende av nätverks- och informationssystem som används av myndig- heter, organisationer, företag och privatpersoner. Den digitala utveck- lingen ger stora möjligheter att förbättra och effektivisera människors vardag och olika verksamheter. Digitaliseringen har skapat nya for- mer av kommunikation, datahantering och datalagring. I dag bygger många system för att hantera information huvudsakligen på digital informations- och kommunikationsteknologi (IKT).
Med den tilltagande digitaliseringen och globaliseringen, som ökar beroenden över
53
Uppdraget |
SOU 2021:63 |
säkerhetsarbete, av såväl offentliga som privata aktörer, ses som nöd- vändigt vid digitaliseringsprocesser för att samhället ska kunna fun- gera och utvecklas i linje med de mål som finns inom olika politikom- råden.
Samtidigt som allt fler länder utvecklar strategier, doktriner och förmågor inom cyberområdet ökar förekomsten av cyberattacker mot olika intressen och verksamheter. Hoten kan utgöras av politiskt, ekonomiskt och brottsligt motiverade angrepp, men även oavsiktliga incidenter som påverkar cybersäkerheten ökar. Den kraftiga tillväx- ten av bl.a. sakernas internet (IoT), molnet (cloud) och stordata (Big Data) medför större utsatthet för säkerhetsbrister.
Cyberangrepp och
Det europeiska ramverket för cybersäkerhetscertifiering
EU har antagit ett antal strategier, policys och förordningar för att stärka cybersäkerheten i unionen och medlemsstaterna.1 Europaparla- mentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cyber- säkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhets- akten) trädde i kraft den 27 juni 2019. Förordningen började tillämpas direkt med undantag för vissa artiklar som kräver kompletterande bestämmelser på nationell nivå och som därför ska börja tillämpas den 28 juni 2021. Det huvudsakliga syftet med förordningen är att
1En närmare redogörelse för EU:s strategier och policy finns i utredningens delbetänkande EU:s cybersäkerhetsakt – kompletterande nationella bestämmelser om cybersäkerhetscertifiering (SOU 2020:58).
54
SOU 2021:63 |
Uppdraget |
uppnå en hög nivå i fråga om cybersäkerhet, cyberresiliens och förtro- ende inom unionen och säkerställa en väl fungerande inre marknad.
EU:s ramverk för cybersäkerhetscertifiering, dvs. EU:s cyber- säkerhetsakt och de genomförandeakter som utfärdas med stöd av cybersäkerhetsakten, kommer att reglera den cybersäkerhetscerti- fiering som följer av en europeisk certifieringsordning för cyber- säkerhetscertifiering som fastställts av kommissionen. Cybersäker- hetsakten är en
Utgångspunkten kommer att vara att certifieringen även i fram- tiden ska vara frivillig, oavsett om en europeisk ordning för cyber- säkerhetscertifiering finns på plats eller inte. Detta är dock upp till varje medlemsstat att bestämma. Den största skillnaden är att när en sådan europeisk ordning för cybersäkerhetscertifiering finns på plats, får inte längre nationella cybersäkerhetscertifieringar utföras inom det område som täcks av den europeiska ordningen för cybersäker- hetscertifiering. Förordningen innebär också att när en europeisk ordning för cybersäkerhetscertifiering ska användas reglerar förord- ningen vilka krav som ställs på certifieringen, certifieringsorganen och de leverantörer och producenter som innehar ett sådant certifikat.
Utredningens uppdrag i den första delen har varit att föreslå de anpassningar och kompletterande nationella författningsbestämmel- ser som EU:s cybersäkerhetsakt ger anledning till och som behöver finnas på plats när hela förordningen i sin helhet börjar tillämpas den 28 juni 2021. I uppdraget har ingått att överväga och föreslå vilken befintlig nationell myndighet som ska utses att fullgöra de uppgifter och tilldelas de ansvarsområden som följer av EU:s cybersäkerhets- akt, bl.a. uppdraget att utöva tillsyn över efterlevnaden av det euro- peiska ramverket för cybersäkerhetscertifiering. Det har även ingått att undersöka vilka kompletterande nationella bestämmelser, bl.a. processuella bestämmelser och bestämmelser om sanktioner, som förordningen kräver eller som det annars finns anledning att införa.
Regeringen har efter remissbehandling av utredningens delbetän- kande i proposition 2020/21:186 Kompletterande bestämmelser till EU:s cybersäkerhetsakt lämnat förslag på en ny lag med komplette- rande bestämmelser till EU:s cybersäkerhetsakt. I den föreslagna lagen finns kompletterande bestämmelser till EU:s cybersäkerhetsakt, bl.a.
55
Uppdraget |
SOU 2021:63 |
om nationell myndighet för cybersäkerhetscertifiering, vissa hand- läggningsregler vid cybersäkerhetscertifiering, tillsyn och sanktioner. Den nya lagen föreslås träda i kraft den 28 juni 2021. Riksdagen har den 9 juni 2021 beslutat i enlighet med vad som föreslås i propositionen.
2.3Uppdragets andra del
I utredningsdirektivet konstateras att åtgärder för att skydda natio- nell säkerhet faller utanför EU:s kompetens (art. 4.2
För nätverks- och informationssystem som används i eller har be- tydelse för säkerhetskänslig verksamhet finns särskilda krav i säker- hetsskyddsförordningen (2018:658). Det rör sig bl.a. om förberedande åtgärder inför driftsättning av nätverks- och informationssystem och om säkerhetskrav som kontinuerligt ställs på dessa system. Be- stämmelserna innehåller även krav på samråd med Säkerhetspolisen eller Försvarsmakten i vissa fall. Detta gäller för nätverks- och infor- mationssystem som kan komma att behandla säkerhetsskyddsklas- sificerade uppgifter av visst slag och informationssystem där obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig. Bestämmelserna innebär att det är verksam- hetsutövaren som ansvarar för att se till att nätverks- och informa- tionssystemen upprätthåller kraven på informationssäkerhet.
Enligt direktivet finns det anledning att nu överväga om ytterli- gare krav bör införas för att säkerställa att nätverks- och informations- system som ska användas i säkerhetskänslig verksamhet uppfyller de krav som behövs för att upprätthålla skyddet av sådana verksamheter. En möjlighet kan vara – enligt direktivet – att införa krav på att IKT- produkter,
56
SOU 2021:63 |
Uppdraget |
system som ska användas i säkerhetskänslig verksamhet ska vara certi- fierade enligt särskilda certifieringsordningar som ställer krav anpas- sade för användning i säkerhetskänslig verksamhet. En kompletterande eller alternativ möjlighet är att införa krav på godkännande från en utpekad myndighet innan en sådan produkt, tjänst eller process tas i drift i säkerhetskänslig verksamhet.
Utredningen ska enligt direktivet därför:
–bedöma om det finns anledning att införa särskilda krav på att
–överväga om det finns anledning att införa krav på godkännande från en myndighet för att sådana produkter, tjänster och proces- ser ska få tas i drift i viss eller all säkerhetskänslig verksamhet,
–göra en internationell jämförelse av andra länders lagstiftning som ställer särskilda krav med anledning av nationell säkerhet på
–lämna förslag, förenliga med
–lämna nödvändiga författningsförslag som behövs och är lämpliga.
Utredningen ska enligt direktiven i denna del att förhålla sig till betän- kandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) som förberetts i Regeringskansliet. Regeringen har efter remissbehand- ling av betänkandet i proposition 2020/21:194 Ett starkare skydd för Sveriges säkerhet föreslagit ett flertal ändringar i säkerhetsskyddslagen (2018:585).2
2Se vidare kapitel 8 och 13.
57
Uppdraget |
SOU 2021:63 |
2.4Definitioner
Utredningen behandlar frågor och verksamheter som rör begrepp som digitalisering, cyber, informations- och cybersäkerhet, m.m. Be- grepp som informationssäkerhet,
Figur 2.1 Av figuren framgår hur begreppen cybersäkerhet,
Som framgår av delbetänkandet förekommer begreppen i såväl olika författningar som i nationella styrdokument, handlingsplaner och all- männa råd. Att begreppen används med delvis olika betydelse i olika sammanhang kan ge upphov till begreppsförvirring om vad som egentligen avses med begreppet i det sammanhang det används. Det finns skäl för att begreppen – som utredningen tidigare framhållit i delbetänkandet – i största möjliga utsträckning bör ges samma bety- delse när det tillämpas nationellt och internationellt, särskilt när det gäller det europeiska samarbetet. Det kan i detta sammanhang note- ras att EU:s cybersäkerhetsakt, som är en unionsrättslig författning som är direkt tillämplig i medlemsstaterna, innehåller definitioner av de
58
SOU 2021:63 |
Uppdraget |
olika begrepp som förekommer i akten, bl.a. cybersäkerhet3 och nät- verks- och informationssystem4. Eftersom cybersäkerhetsakten är direkt tillämplig på nationell nivå bör i akten förekommande begrepp och deras innebörd i största möjliga utsträckning användas även i frågor och på områden som formellt inte omfattas av aktens tillämp- ningsområde, om det inte finns skäl att använda ett annat begrepp eller ge det ett annat innehåll. Det kan då finnas skäl att begrepp kan behöva anpassas till nationella förhållanden. Ett exempel på begrepp som används i nationell reglering är begreppet informationssystem i säkerhetsskyddsförordningen, med vilket avses ett system av sam- mansatt mjuk- och hårdvara som behandlar information5. I det euro- peiska ramverket för cybersäkerhetscertifiering respektive i NIS- direktivet används begreppet nätverks- och informationssystem.
I betänkandet används ett antal begrepp som är centrala för ut- redningens arbete. Några av begreppen har definierats i författning eller andra styrdokument medan andra saknar legaldefinition. Be- grepp som certifiering, informationssystem, nätverks- och informations- system samt säkerhetskänslig verksamhet förekommer i olika författ- ningar med angivande av kriterier för begreppen. Andra begrepp, bl.a. godkännande, driftsättas, nät- och informationssäkerhet samt natio- nell säkerhet, saknar i många fall dock tydliga och fastlagda defini- tioner varför de används med den betydelse som framgår av det sam- manhang som de används i betänkandet.
2.5Uppdragets omfattning
Enligt direktivet ska utredningen analysera behovet av stärkt säkerhet
inätverks- och informationssystem i säkerhetskänslig verksamhet, t.ex. överväga om ytterligare krav bör införas för att säkerställa att nät- verks- och informationssystem som ska användas i säkerhetskänslig verksamhet uppfyller de krav som behövs för att upprätthålla skyd- det av sådana verksamheter. Som ovan framgår kan en åtgärd vara att införa krav på att
3All verksamhet som är nödvändig för att skydda nätverks- och informationssystem, använ- dare av dessa system och andra berörda personer mot cyberhot.
4Ett nätverks- och informationssystem enligt definitionen i artikel 4.1 i direktiv (EU) 2016/1148.
55 § säkerhetsskyddsförordningen (2018:658).
59
Uppdraget |
SOU 2021:63 |
krav anpassade för användning i säkerhetskänslig verksamhet. En annan möjlighet är att införa krav på godkännande från en utpekad myn- dighet innan en sådan produkt, tjänst eller process tas i drift i säkerhets- känslig verksamhet.
Säkerhet i nätverks- och informationssystem
Utredningen kan konstatera att säkerhet i nätverks- och informations- system, oavsett om dessa finns i verksamheter som är säkerhetskäns- liga eller i annan typ av samhällsviktig verksamhet, inte endast berör säkerhet i tekniska funktioner utan graden av säkerhet definieras även av bl.a. om och hur ett systematiskt informationssystemsäkerhets- arbete bedrivs av verksamhetsutövaren och graden och omfattningen av
Det systematiska informationssäkerhetsarbetet omfattar organisa- tion, styrning, administration, tekniska åtgärder, resurstilldelning, uppföljning, m.m. Av stor betydelse för säkerhet i nätverks- och informationssystem är – utöver att alla de åtgärder vidtagits som om- fattas av ett systematiskt informationssäkerhetsarbete – att dessa även är skyddade genom olika tekniska åtgärder som säkerställer kon- fidentialitet, riktighet och tillgänglighet i systemen. Därtill kommer att nätverks- och informationssystem i olika former av samhälls- verksamheter uppställer varierande krav på organisatoriska, admini- strativa, och tekniska säkerhetsåtgärder för att uppnå fullgod säker- het i den aktuella verksamheten. Säkerhet i nätverks- och informa- tionssystem är därför beroende av både organisation, styrning, admi- nistration, resurser, mänskligt handlade och teknisk funktionalitet. Graden av säkerhet i nätverks- och informationssystem grundas således på ett antal olika förutsättningar och kriterier och för att man ska kunna anse att det föreligger en tillräcklig säkerhet i nätverks- och informationssystem i en verksamhet måste därför många olika åtgärder ha vidtagits. En analys av brister och behov av ytterligare åtgärder för att stärka säkerheten i nätverks- och informationssystem är därför såväl komplicerad som omfattande och förutsätter tillgång till ett antal olika expertresurser.
60
SOU 2021:63 |
Uppdraget |
Vad som utgör säkerhetskänslig verksamhet
Som ovan framgår ska utredningen analysera behovet av att stärka säkerheten i nätverks- och informationssystem i säkerhetskänslig verksamhet. När det gäller nätverks- och informationssystem i säker- hetskänslig verksamhet utgör skyddsföremålet inte endast sådan in- formation (uppgifter) som omfattas av säkerhetsskyddsregleringen utan regleringen syftar även till att skydda nätverks- och information- ssystem i övrigt som är av betydelse för Sveriges säkerhet, dvs. oavsett om systemen i sig innehåller säkerhetskänsliga uppgifter eller inte.
Enligt direktiven är uppdraget avgränsat till nätverks- och informa- tionssystem i den säkerhetskänsliga verksamheten. Säkerhetskänslig verksamhet utgörs enligt säkerhetskyddsregleringen av sådan verksam- het som är av betydelse för Sveriges säkerhet. Varken säkerhetsskydds- lagen eller den till lagen anslutande säkerhetsskyddsförordningen innehåller någon legaldefinition av vad som avses med verksamhet av betydelse för Sveriges säkerhet. I lagmotiven till säkerhetsskydds- lagen, och i den utredning som låg till grund för propositionen med förslag om ny säkerhetsskyddslag kan viss vägledning fås i frågan om vilken samhällsverksamhet som kan anses ha betydelse för Sveriges säkerhet och därför utgör säkerhetskänslig verksamhet enligt den angivna regleringen. I lagmotiven framhålls att utöver verksamhet inom det militära försvaret är även civil samhällsverksamhet av betydelse för Sveriges säkerhet, t.ex. verksamhet som berör statsledningen, energiområdet, kommunikationer, rättsväsendet, m.m. Även viss verk- samhet inom näringslivet kan vara av betydelse för Sveriges säkerhet och bedöms som säkerhetskänslig verksamhet. Samtidigt framhålls att det endast är sådan verksamhet som är särskild skyddsvärd som ska omfattas av regleringen, även om samhällsutvecklingen över tiden kan komma att påverka omfattningen av vilken verksamhet som ska bedömas var av betydelse för Sveriges säkerhet.
Utredningen kan konstatera att i begreppet säkerhetskänslig verk- samhet ligger utöver verksamhet på det militära området även en om- fattande civil samhällsverksamhet och då särskilt många verksam- heter inom det civila försvaret som, i vart fall i dagsläget, inte är helt enkel att avgränsa från annan verksamhet som inte utgör säkerhets- känslig verksamhet. Som framgår nedan pågår en uppbyggnad och utveckling av bl.a. det civila försvaret inom ramen för totalförsvaret
61
Uppdraget |
SOU 2021:63 |
och det fortsatta arbetet på området kan i framtiden komma att tydliggöra den närmare avgränsningen.
2.6Utredningsarbetet
Arbetet i denna del av uppdraget inleddes i oktober 2020. Utred- ningen har inledningsvis inhämtat underlag i form av offentliga ut- redningar, propositioner, faktapromemorior, nationella strategier, olika studier m.m.
Utredningen har haft tre utredningssammanträden med sakkun- niga och experter. Möjligheten till sedvanliga sammanträden med sakkunniga och experter närvarande har begränsats av rådande om- ständigheter och begränsningar i förutsättningarna att hålla digitala möten för att behandla frågor som rör säkerhetskänslig verksamhet. Utredningen har dock varit angelägen om att – där det varit möjligt
–ha en öppen dialog och samverka med myndigheter och andra aktörer/intressenter som på olika sätt har bedömts beröras av och ha intresse av utredningens arbete. Utredningen har därför när så förut- sättningar förelegat fortlöpande haft möten (digitala) och kontakter med olika företrädare för myndigheter och olika aktörer. Syftet har varit att både informera om utredningens arbete och att inhämta synpunkter.
Utredningen har som stöd i arbetet haft flera kontakter med före- trädare för vissa närmare berörda myndigheter, bl.a. Försvarets materiel- verk, Försvarets radioanstalt, Försvarsmakten, Myndigheten för sam- hällsskydd och beredskap, Post- och telestyrelsen och Säkerhets- polisen. Sekretariatet har haft enskilda möten med experter i ut- redningen i syfte att inhämta fördjupad kunskap inom vissa av de sakområden som behandlas i uppdraget samt haft möten (digitala) med privata aktörer med en nära koppling till området.
Utredningen har också inhämtat underlag om informations- och cybersäkerhetsverksamhet i andra länder som bedömts vara av in- tresse för utredningen.
Utredningen har i enlighet med direktiven hållit sig informerad om arbetet i Regeringskansliet med betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82).
62
SOU 2021:63 |
Uppdraget |
Utredningen har samverkat med
Utredningen har även hållit sig uppdaterad om Utredningen om civilt försvar (Ju 2018:05) som under våren 2021 lämnat slutbetän- kandet Struktur för ökad motståndskraft (SOU 2021:25).
Utredningen har också hållit sig underrättad om utvecklingen av cybersäkerhet i EU, bl.a. vad gäller arbetet med att ta fram genom- förandeakter med stöd av EU:s cybersäkerhetsakt och arbetet med
Utredningen har löpande hållit företrädare för Försvarsdeparte- mentet respektive Justitiedepartementet informerade om utred- ningsarbetet.
Det har funnits begränsningar, bl.a. av sekretesskäl, att kunna ta in ett tillräckligt detaljerat underlag från berörda verksamhetsutövare av säkerhetskänslig verksamhet. Det har påverkat förutsättningarna för att i grunden kunna analysera behovet av att kunna stärka säker- heten i nätverks- och informationssystem på området som är bety- delse för utredningsfrågorna. Härtill kommer att verksamhet som bedöms vara säkerhetskänslig och därför omfattas av regleringen om säkerhetsskydd naturligen även omfattas av sekretess i stora delar, vilket också påverkar uppdraget med att analysera behovet av att stärka säkerheten i nätverks- och informationssystem i sådan verksamhet.
Utredningen har initialt i utredningsarbetet noterat förekomsten av ett relativt stort antal offentliga utredningar och rapporter som antingen haft som uppdrag att analysera frågor som berör nätverks- och informationssäkerheten hos framför allt offentliga aktörer i form av myndigheter, regioner och kommuner eller som annars inom ramen för sitt uppdrag berört dessa frågor. Det föreligger även rappor- ter som behandlar nätverks- och informationssäkerheten i närings- livet (kapitel 8 Det kan noteras att utöver de brister som kan obser- veras i mer allmänna termer och som till stor del grundas på öppna källor, bl.a. offentliga utredningar och myndigheters rapporter, om- fattas uppgifter om förekommande brister i nätverks- och informa- tionssystem i säkerhetskänslig verksamhet av sekretess, i vissa fall av kvalificerad sekretess.
Utredningen gör bedömningen att en sammanställning av offent- liga utredningar och rapporter som behandlar nätverks- och infor- mationssäkerheten i samhället ger förutsättningar att kunna få en
63
Uppdraget |
SOU 2021:63 |
översiktlig och samlad bild av nivån på och omfattningen av säker- heten i nätverks- och informationssystem allmänt hos berörda aktörer, men även i begränsad utsträckning vad gäller säkerheten i nätverks- och informationssystem hos verksamhetsutövare som bedriver säker- hetskänslig verksamhet.
Utredningens analys av brister och behovet av att stärka säker- heten i nätverks- och informationssystem i säkerhetskänslig verksam- het grundas därför till stor del på offentliga utredningar och rappor- ter på området samt under utredningstiden inhämtade uppgifter från ett begränsat antal berörda verksamhetsutövare i förening med syn- punkter som lämnats av utredningens sakkunniga och experter.
2.7Betänkandets disposition
I kapitel 1 lämnas författningsförslag.
I detta kapitel (2) presenteras uppdraget, definitioner, uppdragets omfattning och avgränsningar, utredningsarbetets genomförande samt betänkandets utformning.
I kapitel 3 redogörs för mer centrala utgångspunkter som ligger till grund för utredningsarbetet.
I kapitel 4 behandlas mer allmänna frågor om digitalisering och informations- och cybersäkerhet.
I kapitel 5 redogörs för utvecklingen av hot, sårbarhet och risker inom informations- och cybersäkerhet.
I kapitel 6 behandlas vissa frågor om regleringen av säkerhets- skydd i säkerhetskänslig verksamhet.
I kapitel 7 lämnas en närmare beskrivning av begreppet informa- tionssäkerhet i säkerhetskänslig verksamhet.
I kapitel 8 lämnas en översiktlig redogörelse för offentliga utred- ningar och rapporter som berör informations- och cybersäkerhet.
I kapitel 9 redogörs översiktligt för regelsystem om informations- och cybersäkerhet i några andra länder.
Del två av betänkandet innehåller utredningens överväganden och förslag (se nedan).
I kapitel 10 lämnas en redogörelse för utredningens allmänna över- väganden om digitaliseringen och behoven av ökad säkerhet i nät- verks- och informationssystem.
64
SOU 2021:63 |
Uppdraget |
I kapitel 11 redogörs närmare för utredningens överväganden om behovet av att stärka säkerheten i nätverks- och informationssystem i säkerhetskänslig verksamhet.
I kapitel 12 behandlas frågan om behov av en nationell särskilt anpassad certifieringsordning för certifiering av
I kapitel 13 analyseras behovet av krav på myndighetsgodkän- nande inför driftsättning av
I kapitel 14 behandlas frågan om tillgång till nätverks- och infor- mationssystem i samband med tillsyn.
I kapitel 15 behandlas vissa processuella frågor om handläggnings- regler och överklagande av beslut.
I kapitel 16 behandlas frågor om sekretess.
I kapitel 17 lämnas en konsekvensbeskrivning. I kapitel 18 finns författningskommentarer.
Bilagorna
65
3 Utgångspunkter
3.1Inledning
I detta kapitel tar utredningen upp några av de utgångspunkter som bör beaktas i den fortsatta analysen av behovet av att stärka säker- heten i nätverks- och informationssystem i säkerhetskänslig verk- samhet. Frågan om ökad informations- och cybersäkerhet behandlas i många olika sammanhang, bl.a. i frågor som rör den mer generella utvecklingen av digitaliseringen inom olika samhällsområden. Flera av dessa samhällsområden innefattar verksamheter som bedöms vara säkerhetskänsliga eller som rör samhällsviktiga och digitala tjänster och som är beroende av säkerhet i nätverk och informationssystem i verksamheten.
Riksdagen och regeringen har också i olika styrdokument och beslut understrukit vikten av informations- och cybersäkerhet i sam- hället allmänt och särskilt i totalförsvarets verksamhet, bl.a. i den säkerhetskänsliga verksamheten, men även i andra viktiga samhälls- verksamheter.
En utgångspunkt är regeringens beslut om att inrätta ett natio- nellt cybersäkerhetscenter och de olika myndighetsuppgifter som följer av beslutet. Berörda myndigheter har även tagit fram samlad infor- mations- och cybersäkerhetsplan med beskrivning av olika åtgärder som ska genomföras för att bl.a. stärka informations- och cyber- säkerheten i samhället.
Ytterligare en utgångspunkt är de olika författningar som berör informations- och cybersäkerhetsområdet samt offentliga utredningar och myndighetsrapporter som behandlar frågor om informations- och cybersäkerhet på olika områden.
En annan utgångspunkt är utvecklingen av EU:s ramverk för cyber- säkerhetscertifiering och regleringen av samhällsviktiga och digitala
67
Utgångspunkter |
SOU 2021:63 |
tjänster
3.2Informations- och cybersäkerhet i olika styrdokument
Frågor som rör behovet av stärkt informations- och cybersäkerhet i olika samhällsverksamheter behandlas bl.a. i 2020 års försvarsbeslut för perioden
3.2.1Försvarsbeslutet för perioden
Regeringens försvarspolitiska proposition (prop. 2020/21:30) Total- försvar
1Prop. 2020/21:30, bet. 2020/21:FöU4, rskr. 2020/21:136.
2Nationell säkerhetsstrategi, Statsrådsberedningen, januari 2017.
3Nationell strategi för samhällets informations- och cybersäkerhet, Skr. 2016/17:213.
4Regeringens skrivelse 2017/18:47 Hur Sverige blir bäst i världen på att använda digitaliser- ingens möjligheter – en skrivelse om politikens inriktning.
68
SOU 2021:63 |
Utgångspunkter |
höjd beredskap. I propositionen betonas bl.a. att Sveriges cyberförsvars- förmåga ska stärkas ytterligare och att det systematiska arbetet med informations- och cybersäkerhet behöver stärkas ytterligare hos alla aktörer inom totalförsvaret. Investeringar för att stärka arbetet med säkerhetsskydd och cybersäkerhet ingår i satsningen.
Hotbilden inom cyberområdet
I propositionen konstaterar regeringen att den teknologiska utveck- lingen, utbredningen av digitala lösningar och ökade datavolymer ska- par stora möjligheter men samtidigt risker och sårbarheter för sam- hället i stort och för myndigheter och andra aktörer. Sårbarheter finns i alltifrån elektroniska kommunikationer, sjö- och luftfart till elnät, industriella styrsystem och i det finansiella systemet. Även den data som genereras medför i sig såväl sårbarheter som möjligheter. Många av de system som är kritiska för att upprätthålla samhällets funktionalitet är redan i fredstid sårbara för störningar. Det pågår ständigt intrångsförsök mot internetanslutna system.
I propositionen framhåller regeringen vidare att den delar För- svarsberedningens bedömning att en högre grad av nationell samord- ning behövs på cyberområdet. En viktig komponent i detta arbete är inrättandet av ett cybersäkerhetscenter, som ska ge konkret effekt på Sveriges förmåga att förebygga och hantera antagonistiska hot. Centret ska, i enlighet med vad regeringen redovisar i budgetpropo- sitionen för 2021, stärka Sveriges förmåga att förebygga, upptäcka och hantera antagonistiska cyberhot mot Sverige och minska sår- barheter (se nedan).
Cyberförsvar
I propositionen anges vidare att ett cyberangrepp kan inför eller under hela eller delar av en konflikt komplettera politiska, diploma- tiska, ekonomiska eller militära medel. Sådana angrepp kan hota en stats handlingsfrihet och ytterst dess suveränitet. Effekterna av ett antagonistiskt cyberangrepp kan få lika stora konsekvenser för sam- hällsviktiga funktioner och kritiska
69
Utgångspunkter |
SOU 2021:63 |
cyberangrepp ökar fortlöpande och angriparnas metoder utvecklas.5 Många stater har byggt upp avsevärda resurser i syfte att kunna verka offensivt genom cyberattacker. Förutom att dessa stater utvecklar avancerade metoder och offensiva verktyg har de skapat förmåga att slå brett mot många mål och att upprätthålla uthållighet över tid.
I propositionen framhålls att förmågan att i fredstid hantera anta- gonistiska hot behöver förbättras, bl.a. vad avser cyberattacker. Sår- barheter behöver minskas och verksamheter av betydelse för Sveriges säkerhet ska stärka sitt säkerhetsskydd. I detta sammanhang betonas vikten av förmågan att kunna agera samlat för att möta utmaningar och hot såväl i fred som vid höjd beredskap, bl.a. vad avser arbetet med att stärka informations- och cybersäkerheten och minska sår- barheten för att säkerställa de viktigaste samhällsfunktionerna.6 Många av de system som är kritiska för att upprätthålla samhällets funk- tionalitet är redan i fredstid sårbara för störningar. Verksamheter av betydelse för Sveriges säkerhet behöver därför stärka sitt säkerhets- skydd. Det framhålls att bl.a. Svenska kraftnät, Energimyndigheten och Strålsäkerhetsmyndigheten har identifierat behov av åtgärder för att stärka cybersäkerheten.
Regeringen framhåller vidare att Sveriges cyberförsvar bidrar till att försvåra och höja tröskeln för en aktör som överväger att angripa eller utöva påtryckningar mot Sverige eller svenska intressen. Mot bakgrund av hotbilden anser regeringen,7 att Sveriges cyberförsvars- förmåga8 bör stärkas ytterligare inklusive förmågan att genomföra offensiva9 och defensiva10 operationer i cyberdomänen. Utvecklingen av offensiv och defensiv cyberförsvarsförmåga bygger på tre samver- kande delar:
5Se även 5 kap. om hotbilder, sårbarheter och risker.
6I propositionen noteras att även Försvarsberedningen anser att stärkt informations- och cybersäkerhet, ökad redundans och förbättrat säkerhetsskydd är viktigt i den fortsatta utveck- lingen (s. 148).
7Detta i likhet med Försvarsberedningens bedömning och i enlighet med vad regeringen fram- håller i budgetpropositionen för 2021.
8Cyberförsvar kan definieras som en nations samlade förmågor och åtgärder, såväl defensiva som offensiva, till skydd för dess kritiska samhällsfunktioner samt förmågan att kunna för- svara sig mot cyberangrepp från kvalificerade motståndare.
9Offensiva operationer syftar till att förhindra motståndaren att använda sina system eller att tvinga motståndaren att avbryta angrepp mot svenska system.
10Defensiva operationer syftar till att försvara informationssystem inklusive elektroniska kommunikationsnät för att på så sätt förhindra motståndare att påverka information, infor- mationssystem, datorer eller nätverk.
70
SOU 2021:63 |
Utgångspunkter |
–kunskap om hoten,
–skyddsåtgärder, och
–motåtgärder.
I propositionen framhålls att Försvarsmakten ansvarar för Sveriges offensiva cyberförsvarsförmåga. Cyberdomänen är en av flera domä- ner där myndigheten ska kunna möta ett antagonistiskt hot med stöd av andra myndigheter, t.ex. Försvarets radioanstalt (FRA) och övriga försvarsunderrättelsemyndigheter, Säkerhetspolisen och Myn- digheten för samhällsskydd och beredskap (MSB). Det systematiska arbetet med informations- och cybersäkerhet behöver dock stärkas ytterligare hos aktörer inom totalförsvaret.11 Det finns ett betydande värde av samarbetet mellan FRA, Försvarsmakten och Säkerhets- polisen om utvecklat skydd för de mest skyddsvärda verksamheterna i Sverige mot de allvarligaste hoten. Det finns även skäl att överväga om kvalificerat stöd bör kunna lämnas även till enskilda verksamheter som är att anse som särskilt skyddsvärda.
Regeringen konstaterar vidare att kvalificerad personal krävs för att långsiktigt kompetensförsörja och stärka både den offensiva och defensiva cyberförsvarsförmågan. Vidare krävs till följd av den snabba teknikutvecklingen kontinuerlig forskning och utveckling för att bidra till vidmakthållande och utveckling av cyberförsvarsförmågan.
I propositionen betonar regeringen att en förutsättning för ett starkt cyberförsvar är, i enlighet med vad regeringen även framhåller i budgetpropositionen för 2021, att samtliga aktörer inom totalför- svaret har en god informations- och cybersäkerhet. Det systematiska arbetet med informations- och cybersäkerhet behöver stärkas ytter- ligare hos dessa aktörer.12 För att säkerställa en hög informations- och cybersäkerhet i totalförsvaret är det nödvändigt att informations- och cybersäkerhetsperspektivet beaktas redan i anskaffningsfasen av exempelvis nätverk och
Regeringen, liksom Försvarsberedningen, understryker vikten av det förebyggande arbetet och av att öka medvetenheten såväl som
11Den cyberrelaterade hotbilden beskrivs utförligt i bl.a. Försvarsberedningens rapporter, den nationella strategin för samhällets informations- och cybersäkerhet (skr. 2016/17:213) och i flera myndigheters årsrapporter.
12Regeringen framhåller att en del i detta är en ökad rapportering av
71
Utgångspunkter |
SOU 2021:63 |
förmågan hos alla användare av
Regeringen framhåller även att den delar Försvarsberedningens bedömning att en god ledningsförmåga ställer krav på att metoder och infrastruktur för säkra samband fungerar även under störda för- hållanden och med beaktande av krav på sekretess. Myndigheter och organisationer med ansvar inom totalförsvaret behöver, i enlighet med vad regeringen anger i budgetpropositionen för 2021, ha till- gång till säkra och robusta kommunikationstjänster samt nätlösningar med höga säkerhetskrav som är ändamålsenliga för hantering och kommunikation av säkerhetsskyddsklassificerad information. Av särskild vikt är den
3.2.2Den nationella säkerhetsstrategin
Under 2017 antogs en nationell säkerhetsstrategi som innehåller en samlad redovisning av regeringens syn på säkerhet ur ett brett per- spektiv.13 Strategin syftar till att stärka förmågan att samordnat och effektivt förebygga och möta omedelbara och långsiktiga hot och utmaningar. I strategin anges inriktningen och den utgör ett över- gripande ramverk för det arbete som krävs för att gemensamt värna Sveriges säkerhet, inom och mellan olika politikområden. I strategin noteras att förutsättningarna för säkerhetsarbetet i Sverige förändras snabbt. I ökad utsträckning påverkas Sverige av vad som sker både nationellt som internationellt. De interna och externa hot som sam- hället i dag möter bedöms vara mer komplexa än tidigare samt upp- står och förändras snabbare än förr. Det handlar om nya sorters hot från nya konstellationer av aktörer. Det går dock inte att förutse exakt vilka nya hot som mest sannolikt kommer att tränga sig på eller vilka strategiska vägval som Sverige kan behöva göra för att av- värja dessa. Men genom att tydligt rikta in det samlade säkerhets- arbetet mot de prioriterade områden och nationella intressen som strategin stakar ut kommer Sverige att kunna stå bättre rustat att förebygga och förhindra samt möta både dagens och morgondagens säkerhetsutmaningar.14
13Nationell säkerhetsstrategi, Statsrådsberedningen, januari 2017.
14S. 5.
72
SOU 2021:63 |
Utgångspunkter |
Strategin tar sin utgångspunkt i ett antal brett definierade mål för säkerhet och de värden som ligger till grund för dessa mål. I strategin identifieras ett antal områden där Sverige har särskilda intressen att försvara och där det behövs ett förstärkt säkerhetsarbete. Samman- taget utgör detta kärnan i den nationella säkerhetsstrategin.
Digitala risker och informations- och cybersäkerhet
I den nationella säkerhetsstrategin framhålls att digitaliseringen på- verkar alla delar av samhället. I stort sett hela samhället är i dag bero- ende av fungerande
I strategin noteras att målet för
73
Utgångspunkter |
SOU 2021:63 |
av att samtliga aktörer känner tillit till information och dess hanter- ing på alla nivåer i samhället. Bästa möjliga förutsättningar ska skapas för alla att ta del av, ha ansvar för och känna tillit till det digitala samhället.
I strategin anges vidare att för att bemästra utmaningarna inom informations- och cybersäkerhetsområdet är det viktigt att fort- löpande arbeta för att minska sårbarheter. Detta är en uppgift för alla aktörer i samhället. Förmågan att förebygga, identifiera och hantera
I strategin betonas vidare att syftet med den nationella strategin för
74
SOU 2021:63 |
Utgångspunkter |
3.2.3Nationell strategi för samhällets informations- och cybersäkerhet
År 2017 antogs även den nationella strategin för samhällets informa- tions- och cybersäkerhet.15 De huvudsakliga syftena med den natio- nella strategin för samhällets informations- och cybersäkerhet är dels att höja medvetenheten och kunskapen i hela samhället dels att bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet.
I strategin pekar regeringen ut ett antal strategiska prioriteringar varav en är att säkerställa en systematisk och samlad ansats i arbetet med informations- och cybersäkerhet. Målsättningen i denna del är bl.a. att offentlig förvaltning ska ha kännedom om hot och risker, ta ansvar för sin informationssäkerhet och bedriva ett systematiskt informationssäkerhetsarbete. För att förbättra förutsättningarna för, i första hand, statsförvaltningen att bedriva ett systematiskt infor- mationssäkerhetsarbete på ett mer samordnat sätt uttalar regeringen att det ska finnas en nationell modell till stöd för detta arbete. Vidare ska det finnas en ändamålsenlig tillsyn som skapar förutsättningar för ökad informations- och cybersäkerhet i samhället. Regeringen framhåller att en förutsättning för att reglerna på informationssäker- hetsområdet ska få det genomslag som är avsett är att det finns en tillsyn som kan utföras på ett ändamålsenligt och effektivt sätt.
Huvudsyftet med strategin är att bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med infor- mations- och cybersäkerhet samt att höja medvetenheten och kun- skapen i hela samhället. Det övergripande ansvaret för den nationella strategin för samhällets informations- och cybersäkerhet är reger- ingens. Justitie- och inrikesministern är det statsråd som ansvarar för att samordna genomförande och uppföljning av strategin. Alla poli- tikområden är i olika utsträckning berörda av informations- och cyber- säkerhetsfrågorna.
Den nationella strategin för samhällets informations- och cyber- säkerhet innehåller sex strategiska prioriteringar:
–säkerställa en systematisk och samlad ansats i arbetet med infor- mations- och cybersäkerhet,
–öka säkerheten i nätverk, produkter och system,
15Nationell strategi för samhällets informations- och cybersäkerhet, Skr. 2016/17:213. Med be- greppet cybersäkerhet avses i skrivelsen informationssäkerhet för digital information.
75
Utgångspunkter |
SOU 2021:63 |
–stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra
–öka möjligheterna att förebygga och bekämpa
–öka kunskapen och främja kompetensutvecklingen,
–stärka det internationella samarbetet.
Under respektive prioriterat område finns ett antal målsättningar för hur regeringen ska verka inom området. I juni 2018 kompletterades strategin men en bilaga som innehåller en uppdatering om genom- förandet. I bilagan beskrivs en styrningsram som definierar olika aktö- rers ansvar och roll vid genomförandet av strategin.
I samband med att strategin kompletterades gav regeringen Myn- digheten för samhällsskydd och beredskap, Försvarets radioanstalt, Försvarets materielverk, Försvarsmakten, Post- och telestyrelsen, Polis- myndigheten och Säkerhetspolisen ett uppdrag att för deras arbete utifrån målen i strategin ta fram en samlad handlingsplan för åren
Inom Regeringskansliet sker viss uppföljning av arbetet med hand- lingsplanen och koordinering mellan departementen och arbetet leds av Justitiedepartementet.
3.2.4Nationell digitaliseringsstrategi
Regeringen fattade 2017 även beslut om en nationell digitaliserings- strategi.16 Det övergripande målet i digitaliseringsstrategin är det av riksdagen beslutade målet att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter17. Strategin anger inriktningen för regeringens digitaliseringspolitik. Visionen är ett hållbart digita- liserat Sverige. Det övergripande målet är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. Digitalt kom- petenta och trygga människor har möjlighet att driva innovation där målmedveten ledning och infrastruktur är viktiga förutsättningar. För att nå det övergripande målet innehåller strategin fem delmål om
16Regeringens skrivelse 2017/18:47 Hur Sverige blir bäst i världen på att använda digitaliser- ingens möjligheter – en skrivelse om politikens inriktning.
17Prop. 2011/12:1, utg. omr. 22, bet. 2011/12: TU1, rskr. 2011/12:87.
76
SOU 2021:63 |
Utgångspunkter |
digital kompetens, digital trygghet, digital innovation, digital led- ning och digital infrastruktur. Delmålen förklarar hur digitalisering ska kunna bidra till en positiv samhällsutveckling. Delmålen i digita- liseringsstrategin formuleras enligt följande:
–i Sverige ska alla kunna utveckla och använda sin digitala kom- petens
–i Sverige ska det finnas de bästa förutsättningarna för alla att på ett säkert sätt ta del av, ta ansvar för samt ha tillit till det digitala samhället
–i Sverige ska det finnas de bästa förutsättningarna för att digitalt drivna innovationer ska utvecklas, spridas och användas
–i Sverige ska relevant, målmedveten och rättssäker effektivisering och kvalitetsutveckling ske genom digitalisering
–hela Sverige bör ha tillgång till infrastruktur som medger snabbt bredband och stabila mobila tjänster och som stöder digitaliser- ing
Regeringen har uttalat att ett mål för digitaliseringen av den offent- liga förvaltningen är en enklare vardag för medborgare, en öppnare förvaltning som stödjer innovation och delaktighet samt högre kva- litet och effektivitet i verksamheten.18 I Sverige ska det finnas de bästa förutsättningarna för alla att på ett säkert sätt ta del av, ta an- svar för samt ha tillit till det digitala samhället. Förutom bl.a. digital kompetens är trygghet och tillgänglighet viktiga faktorer för digital delaktighet.19
Delmålet digital trygghet innebär att människor, företag och orga- nisationer ska känna tillit till och förtroende i användningen av digi- tala tjänster och att det är enkelt att använda dem. Eftersom digita- lisering förändrar samhället i grunden på fler sätt än de som tidigare kopplats ihop med teknikutveckling, ser regeringen ett behov av ett vidare trygghetsperspektiv. Utöver informationssäkerhet och per- sonlig integritet behöver även frågor om människors och företags syn på hur samhället klarar av att hantera de risker som digitaliser-
18Budgetpropositionen för 2018, prop. 2017/18:1, utg.omr. 2 s. 93.
19
77
Utgångspunkter |
SOU 2021:63 |
ingen innebär inkluderas. Förutom bl.a. digital kompetens är trygg- het och tillgänglighet viktiga faktorer för digital delaktighet. Privata och offentliga aktörer behöver agera på ett ansvarsfullt sätt. Det är angeläget att det digitala samhället genomsyras av ett demokratiskt synsätt och att alla ska känna en grundtrygghet i den digitala sam- hällsutvecklingen. Alla ska våga lita på digitala tjänster och både vilja och kunna bidra till användningen av dessa. Det krävs dessutom säkra digitala system, som värnar den personliga integriteten och att identifierade sårbarheter hanteras när människor och samhället i allt högre grad blir beroende av att teknik är uppkopplad och kommu- nicerbar via internet. Digitaliseringskommissionen har identifierat förstärkt säkerhet och integritet liksom tillit till tekniken och till samhället som viktiga frågor att hantera inom ramen för en fram- åtriktad digitaliseringspolitik.20
3.3Det nationella cybersäkerhetscentret
Cyberhoten mot Sverige och svenska intressen är omfattande. Genom digitalisering och teknikutveckling blir hoten och sårbarheterna fler vilket gör att säkerheten behöver stärkas. I regeringsförklaringen i september 2019 aviserade regeringen att ett nationellt cybersäker- hetscenter ska inrättas 2020. Regeringen uppdrog den 26 september 2019 åt Försvarets radioanstalt, Försvarsmakten, Myndigheten för samhällsskydd och beredskap och Säkerhetspolisen att tillsammans vidta förberedande åtgärder och lämna förslag för att ett nationellt cybersäkerhetscenter ska kunna inrättas under 2020. Uppdraget redo- visades den 16 december 2019.
Regeringens beslutade i december 202021 att uppdra åt Försvarets radioanstalt, Försvarsmakten, Myndigheten för samhällsskydd och beredskap och Säkerhetspolisen (myndigheterna) att fördjupa sam- verkan inom cybersäkerhetsområdet genom att utvecklas samarbetet inom ramen för det nationella cybersäkerhetscentret. Myndigheterna ska fortsatt ha en nära samverkan med Försvarets materielverk, Polismyndigheten och Post- och telestyrelsen som ska ges möjlighet att medverka i cybersäkerhetscentrets verksamhet. Myndigheterna ska även fortlöpande informera Regeringskansliet (Försvarsdeparte-
20Digitaliseringsstrategin, s. 11.
21Uppdrag om fördjupad samverkan inom cybersäkerhetsområdet genom ett nationellt cyber- säkerhetscenter, Regeringsbeslut
78
SOU 2021:63 |
Utgångspunkter |
mentet och Justitiedepartementet) om den verksamhet som bedrivs inom cybersäkerhetscentret.22
Enligt regeringsbeslutet ska samverkan inom ramen för cyber- säkerhetscentret inledas 2020 och utvecklas stegvis
Närmare om uppdraget
Det övergripande målet med den fördjupade samverkan inom ramen för det nationella cybersäkerhetscentret är att stärka Sveriges sam- lade förmåga att förebygga, upptäcka och hantera antagonistiska cyberhot. Samverkan med privata och offentliga aktörer ska utgöra en central del av uppdraget i syfte att stärka cybersäkerheten i sam- hället. Inom ramen för cybersäkerhetscentret ska myndigheterna:
–koordinera arbetet för att förebygga, upptäcka och hantera cyber- angrepp och andra
–förmedla råd och stöd avseende hot, sårbarheter och risker,
–utgöra en nationell plattform för samverkan och informations- utbyte med privata och offentliga aktörer inom cybersäkerhets- området.
Samverkan inom ramen för cybersäkerhetscentret ska utvecklas steg- vis
–samlokalisering av relevanta förmågor från myndigheterna,
–stöd vid hanteringen av cyberangrepp och andra
–upprättande av en plan för samlad hantering på nationell nivå vid allvarliga cyberangrepp,
–tillhandahållande av anpassade och aggregerade lägesbilder och analyser avseende hot, sårbarheter och risker,
22En gemensam redovisning av arbetet ska lämnas årligen till Regeringskansliet (Försvars- departementet och Justitiedepartementet) i samband med att myndigheternas årsredovisning lämnas till regeringen. Redovisningen ska innehålla såväl en verksamhetsuppföljning som en ekonomisk redovisning.
79
Utgångspunkter |
SOU 2021:63 |
–riktade och samordnade varningar avseende hot och cyberangrepp,
–samordning av stödet till förebyggande skyddsåtgärder, exempel- vis tekniska säkerhetsanalyser och kartläggning av verksamheters beredskap vid
–samordning av, och utgöra kontaktpunkt för, internationella sam- arbeten på myndighetsnivå inom cybersäkerhetscentrets verk- samhet,
–
–dialog med aktörer inom
–erbjudande av kompetenshöjande insatser, exempelvis övningar och utbildningar för identifierade målgrupper.
Cybersäkerhetscentrets verksamhet ska komma till bred nationell nytta inom såväl offentlig som privat verksamhet. Vad gäller mål- gruppsanpassade insatser ska dessa under
3.4Samlad informations- och cybersäkerhetshandlingsplan
Regeringen beslutade 2018 att uppdra åt Myndigheten för samhälls- skydd och beredskap, Försvarets radioanstalt, Försvarets materielverk, Försvarsmakten, Post- och telestyrelsen, Polismyndigheten och Säker- hetspolisen att ta fram en samlad handlingsplan för dessa myndighe- ters arbete utifrån målen i den nationella strategin för samhällets
80
SOU 2021:63 |
Utgångspunkter |
informations- och cybersäkerhet (skr. 2016/17:213). Handlingspla- nen ska omfatta åren
Av handlingsplanen ska framgå planerade åtgärder som myndig- heterna enskilt eller i samverkan med andra aktörer avser att vidta för att höja informations- och cybersäkerheten i samhället. Den sam- lade handlingsplanen bör – enligt regeringen – syfta till att bidra till att det sker en samordning avseende myndigheternas åtgärder och aktiviteter. I framtagandet av handlingsplanen ska myndigheterna särskilt samverka bl.a. med den eller de myndigheter som utövar tillsyn med stöd av lagen om informationssäkerhet för samhällsvik- tiga och digitala tjänster samt Myndigheten för digital förvaltning. Myndigheterna bör även på ett systematiskt sätt inhämta idéer och råd och i övrigt samverka med andra relevanta statliga myndigheter, regioner, kommuner, Sveriges Kommuner och Regioner, företag och andra organisationer som kan bidra i arbetet. Handlingsplanen kan även omfatta planerade åtgärder inom ramen för internationella samarbeten. Enligt regeringen finns i det fortsatta arbetet ett behov av en samlad redovisning av vilka åtgärder de sju myndigheterna på eget initiativ planerar att vidta för att höja informations- och cyber- säkerheten i samhället inom ramen för sina befintliga ansvarsområden de kommande åren. Med en samlad handlingsplan kommer – enligt regeringen – styrningen av de sju myndigheterna för att genomföra strategin bli mer ändamålsenlig. Uppdraget bidrar till att ge reger- ingen ett bättre underlag för att kunna analysera om myndigheternas planerade åtgärder är tillräckliga för att nå målsättningarna i strategin och vilka ytterligare åtgärder regeringen behöver vidta. Myndigheten för samhällsskydd och beredskap (MSB) ska vara sammanhållande för en årlig redovisning av den samlade handlingsplanen.24
Regeringen anger vidare att utöver uppdraget om en samlad hand- lingsplan avser den att återkomma med specifika uppdrag som myndig- heterna ska utföra i samverkan. Ett prioriterat uppdrag är framtagandet av en nationell modell för systematiskt informationssäkerhetsarbete
23Uppdrag om en samlad informations- och cybersäkerhetshandlingsplan för åren
24Myndigheten för samhällsskydd och beredskap ska vara sammanhållande för en årlig redo- visning till Regeringskansliet (Justitiedepartementet, Försvarsdepartementet och Närings- departementet) av dessa myndigheters arbete med att genomföra handlingsplanen. Den första redovisningen lämnades i mars 2020 till Regeringskansliet (Justitiedepartementet, Försvars- departementet och Näringsdepartementet). En redovisning ska därefter lämnas den 1 mars varje år fram till att uppdraget slutredovisas den 1 mars 2023. I samband med de årliga redovis- ningarna bör myndigheterna vid behov uppdatera handlingsplanen så att den ger en rättvisande bild av myndigheternas huvudsakliga aktiviteter.
81
Utgångspunkter |
SOU 2021:63 |
som utgör en av målsättningarna i den nationella strategin för sam- hällets informations- och cybersäkerhet. Den nationella modellen syftar till att utgöra en gemensam plattform för det systematiska in- formationssäkerhetsarbetet genom at samordna och samla regelverk, metoder, verktyg, utbildningar med mera på ett lättillgängligt sätt.
Regeringen anger att strategin ger uttryck för regeringens över- gripande prioriteringar och målsättningar och syftar till att utgöra en plattform för Sveriges fortsatta utvecklingsarbete. Ingen aktör kan ensam lösa utmaningarna på detta område. När flera aktörer arbetar mot samma mål är det särskilt viktigt med samverkan och en gemen- sam riktning. Tillsammans med strategin bidrar den samlade hand- lingsplanen till en sådan riktning och risken minskar för till exempel överlappande arbete eller att centrala behov inte tillgodoses.25 Reger- ingen framhåller att myndigheterna i detta uppdrag har centrala an- svarsområden i arbetet för en god
De berörda myndigheterna offentliggjorde i mars 2021 en samlad informations- och cybersäkerhetshandlingsplan för
25Försvarsberedningen har i sin rapport Motståndskraft, Inriktningen av totalförsvaret och ut- formningen av det civila försvaret
26Samlad informations- och cybersäkerhetshandlingsplan för åren
82
SOU 2021:63 |
Utgångspunkter |
svarsområden och uppdrag som myndigheterna har. Handlingsplanen ska dock inte ses som en komplett redovisning av alla de åtgärder som de olika myndigheterna avser att genomföra inom sina respek- tive verksamheter på informations- och cybersäkerhetsområdet. Samtliga åtgärder i handlingsplanen ansluter till någon eller några av de sex strategiska prioriteringar som regeringen beslutat i den nationella strategin för samhällets informations- och cybersäkerhet (skr. 2016/17:213). Huvuddelen av åtgärderna syftar till att:
–säkerställa en systematisk och samlad ansats i arbetet med infor- mations- och cybersäkerhet,
–öka säkerheten i nätverk, produkter och system,
–stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra
–öka kunskapen och främja kompetensutvecklingen.
Av redovisningen framgår vilken myndighet som är ansvarig för re- spektive åtgärd, vilka som deltar i arbetet samt vad åtgärden omfattar.
3.5Författningsbestämmelser om informations- och cybersäkerhet
Bestämmelser om myndigheters och övriga aktörers ansvar för informationssäkerhet och säkerhetsskydd finns i flera olika former av författningar. Vissa typer av regleringar som avser ansvar för in- formation utgår från att skydda eller tillvarata särskilda intressen, bl.a. informationssäkerhet, offentlighet, sekretess, integritetsskydd, effektiv förvaltning, m.m. Här finns anledning att även nämna data- skyddsreglernas krav på säkerhet vid behandling av personuppgifter liksom arkivregleringens krav rörande bevarande av handlingar och uppgiftssamlingar över lång tid. Vidare kan sektorsspecifik reglering om hantering av information också innehålla bestämmelser om in- formationssäkerhet.
Bestämmelser som reglerar informationssäkerhet återfinns i flera olika regelverk. I huvudsak reglerar författningarna antingen skydd för information i viss typ av verksamhet eller särskilt skydd för viss typ av information samt skydd av nätverks- och informationssystem
83
Utgångspunkter |
SOU 2021:63 |
i vissa typer av verksamheter. Reglering finns i huvudsak inom om- rådena för säkerhetskänslig verksamhet (säkerhetsskydd) respektive annan samhällsviktig verksamhet, dvs. närmare angivna samhällsvik- tiga och digitala tjänster. I övrigt finns reglering om informations- säkerhet inom bl.a. området för skydd av personuppgifter (dataskydds- förordningen).
Figur 3.1 I figuren finns en översiktlig skiss över indelning i de verksamhetsområden som innehåller reglering av informations- och cybersäkerhet
Nedan följer översiktlig redogörelse av regleringen av nätverks- och informationssäkerhet som är av mer central betydelse för den fort- satta analysen av utredningsfrågorna.
3.5.1Säkerhetsskydd
En ny säkerhetsskyddslag (2018:585) och den till lagen anslutande säkerhetsskyddsförordningen (2018:658) har trätt i kraft den 1 april 2019. I lagen och förordning finns bestämmelser som ställer krav på särskilda skyddsåtgärder (säkerhetsskydd) för den information och informationssystem som kan påverka rikets säkerhet. Med säker- hetsskydd avses bl.a. skydd av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen jämte skydd av informations-
84
SOU 2021:63 |
Utgångspunkter |
system i övrigt som rör Sveriges säkerhet. Informationssäkerhet är en av tre grundläggande säkerhetsskyddsåtgärder i säkerhetsskyddslagen och ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs. Vilka upp- gifter som en myndighet ska hålla hemliga med hänsyn till rikets säkerhet avgörs efter en säkerhetsanalys hos respektive myndighet. Ytterligare bestämmelser om kraven på informationssäkerhet finns i säkerhetsskyddsförordningen.
Lagen gäller vid verksamhet hos staten, regioner och kommunerna, men även aktiebolag, handelsbolag, föreningar och stiftelser över vilka staten, regionerna och kommunerna utövar ett rättsligt bestäm- mande inflytande. Lagen gäller också för enskilda om verksamheten är av betydelse för rikets säkerhet. Lagstiftningen har därefter kom- pletterats med bestämmelser om skärpt kontroll av statliga myndig- heters utkontraktering och överlåtelse av säkerhetskänslig verksamhet. Säkerhetsskyddslagstiftningen genomgår fortsatt ett omfattande re- formarbete (se kapitel 6, 8 och 13).
Försvarsmakten, Säkerhetspolisen och andra tillsynsmyndigheter ansvarar för tillsyn och kontroll av säkerhetsskyddet hos myndig- heter och andra som lagen gäller för.
3.5.2Samhällsviktiga och digitala tjänster
27Europaparlamentets och Rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.
28Samhällsviktig verksamhet är ett samlingsbegrepp som omfattar de verksamheter, anlägg- ningar, noder, infrastrukturer och tjänster som är av avgörande betydelse för att upprätthålla viktiga samhällsfunktioner.
85
Utgångspunkter |
SOU 2021:63 |
–bankverksamhet,
–digital infrastruktur,
–energi,
–finansmarknadsinfrastruktur,
–hälso- och sjukvård,
–leverans och distribution av dricksvatten,
–transport.
I
Lagen (2018:1174) respektive förordningen (2018:1175) om in- formationssäkerhet för samhällsviktiga och digitala tjänster om infor- mationssäkerhet för samhällsviktiga och digitala tjänster trädde i kraft den 1 augusti 2018. Den angivna lagen ställer krav på leverantörer av samhällsviktiga tjänster inom de sju utpekade sektorerna samt, under vissa förutsättningar, leverantörer av digitala tjänster.
Myndigheten för samhällsskydd och beredskap (MSB) har med- delat föreskrifter om vilka tjänster inom dessa sektorer som ska anses som samhällsviktiga. Leverantörer av samhällsviktiga tjänster ska vidta adekvata åtgärder för att skydda de nätverks- och informa- tionssystem som de använder för att tillhandahålla samhällsviktiga tjänster.29 De ska även rapportera till MSB om incidenter som har en betydande inverkan på kontinuiteten i tjänsterna. Ett antal myndig- heter har genom föreskrift fått i uppgift att bedriva tillsyn över regel- verket inom sina respektive sektorer. En sådan tillsynsmyndighet ska ha befogenhet och medel för att kontrollera att leverantörerna upp- fyller sina skyldigheter samt fastställa regler om sanktioner vid över- trädelse av regelverket. Den nya lagen gäller även för digitala tjänster
En leverantör av samhällsviktiga tjänster ska arbeta systematiskt och riskbaserat med sitt informationssäkerhetsarbete. Kraven för leve- rantörer av samhällsviktiga tjänster beskrivs mer detaljerat i Myn-
29Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster (MSBFS 2018:8).
86
SOU 2021:63 |
Utgångspunkter |
digheten för samhällsskydd och beredskaps (MSB) föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster (MSBFS 2018:8). I föreskrifterna beskrivs hur leverantören ska gå tillväga för att bedriva ett effektivt informationssäkerhetsarbete. Före- skrifterna ger bland annat kunskap, och stöd, om resurser för att identifiera, införa och utvärdera ändamålsenliga och proportioner- liga organisatoriska och tekniska säkerhetsåtgärder.
Den angivna regleringen ställer således krav på att verksamhets- utövare som omfattas av regleringen ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete i sin verksamhet.,
I detta sammanhang kan noteras att
3.5.3Det europeiska ramverket för cybersäkerhetscertifiering
Utredningen lämnade delbetänkandet EU:s cybersäkerhetsakt – kom- pletterande nationella bestämmelser om cybersäkerhetscertifiering (SOU 2020:58) till regeringen i september 2020. I delbetänkande lämnar utredningen förslag om att Försvarets materielverk ska utses till nationell cybersäkerhetsmyndighet med uppgift att fullgöra de skyldigheter som följer av EU:s cybersäkerhetsakt. Vidare lämnades förslag om författningsbestämmelser avseende tillsyn, sanktioner, sekretess, m.m. Delbetänkandet har remissbehandlats under 2021.
Regeringen överlämnade den 29 april 2021 till riksdagen propo- sitionen Kompletterande bestämmelser till EU:s cybersäkerhetsakt (prop. 2020/21:186) med anledning av utredningens delbetänkande. Utredningen har tagit del av vad regeringen anför i propositionen och kommer på motsvarande sätt som gäller för remissinstansernas synpunkter att beakta vad som anförs i propositionen i den utsträck- ning det har betydelse för utredningsarbetet.
I EU:s cybersäkerhetsakt anges att regleringen i akten inte på- verkar medlemsstaternas befogenheter i fråga om verksamhet som berör allmän säkerhet, försvar, nationell säkerhet och statens verk- samhet på straffrättens område, dvs. verksamheter som till stor del be- döms utgöra säkerhetskänslig verksamhet enligt den nationella säker- hetsskyddslagstiftningen.
87
Utgångspunkter |
SOU 2021:63 |
Utredningen har i delbetänkandet gjort bedömningen att många av de
En av utgångspunkterna för utredningens arbete i denna del har därför varit – på motsvarande sätt som i delbetänkandet – att i de analyser och de överväganden som gjorts i olika frågor avseende den säkerhetskänsliga verksamheten även beakta hur utredningens ställ- ningstaganden och förslag kan komma att beröra informations- och cybersäkerhet inom tillämpningsområdet för EU:s cybersäkerhetsakt.
3.5.4Regleringen avseende statliga myndigheter
Grundläggande krav på statliga myndigheters informationssäkerhet finns i förordningen (2015:1052) om krisberedskap och bevaknings- ansvariga myndigheters åtgärder vid höjd beredskap. Av förordningen framgår att varje myndighet ansvarar för att egna informationshanter- ingssystem uppfyller sådana grundläggande och särskilda säkerhets- krav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt.31 Behovet av säkra ledningssystem för informationssäkerhet ska särskilt beaktas. Vidare regleras en skyldighet för myndigheterna att rapportera
30Se avsnitt 2.4 i delbetänkandet.
3119 och 20 §§ förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndig- heters åtgärder vid höjd beredskap.
32Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).
33Myndigheten för samhällsskydd och beredskaps föreskrifter om säkerhetsåtgärder i informa- tionssystem för statliga myndigheter (MSBFS 2020:7).
34Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av
88
SOU 2021:63 |
Utgångspunkter |
3.5.5Regioner och kommuner
För regioner och kommuner gäller lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i freds- tid och höjd beredskap. Bestämmelserna i lagen syftar till att regio- ner och kommuner ska minska sårbarheten i sin verksamhet och ha en god förmåga att hantera krissituationer i fred. Regioner och kom- muner ska därigenom också uppnå en grundläggande förmåga till civilt försvar. Regioner och kommuner ska analysera vilka extraordi- nära händelser i fredstid som kan inträffa i kommunen respektive regionen och hur dessa händelser kan påverka den egna verksam- heten. Resultatet av arbetet ska värderas och sammanställas i en risk- och sårbarhetsanalys. Regioner och kommuner ska vidare, med be- aktande av risk- och sårbarhetsanalysen, för varje ny mandatperiod fastställa en plan för hur de ska hantera extraordinära händelser. Reger- ingen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om risk- och sårbarhetsanalyser samt planer för hanteringen av extraordinära händelser. Regleringen omfattar emeller- tid inte specifika bestämmelser med krav på eller om informations- säkerhet.35
3.6Offentliga utredningar och rapporter
Under den senaste femårsperioden har ett antal offentliga utred- ningar och myndighetsrapporter offentliggjorts som berör informa- tions- och cybersäkerhet och, till viss del, säkerhetsskydd i olika verk- samheter. Både utredningar och rapporter visar det finns besvärande brister i informations- och cybersäkerheten i många offentliga aktö- rers verksamhet och att det därför finns befogad anledning anta att även informations- och cybersäkerheten i den säkerhetsskyddade verk- samheten kan vara bristfälligt. En redogörelse för vad som framkom- mer av utredningarna och rapporterna finns i kapitel 8.
35Det kan dock nämnas att vissa föreskrifter som gäller hälso- och sjukvården anger krav på in- formationssäkerhet när vårdgivare behandlar patienters personuppgifter
89
Utgångspunkter |
SOU 2021:63 |
3.7Digitaliseringen och kraven på informations- och cybersäkerhet
Utredningen kan konstatera att digitaliseringen och hanteringen av information i nätverks- och informationssystem ökar i alla delar av samhället och inom alla samhällsverksamheter. I takt med att den digitala utvecklingen skapar nya möjligheter uppstår nya säkerhets- utmaningar och hela samhället behöver därför kunna hantera både nationella och globala säkerhetsutmaningar. När det uppkommer sårbarheter och brister i olika nätverks- och informationssystem ris- kerar det att få omfattande säkerhets- och integritetsmässiga kon- sekvenser för samhället i stort och för enskilda. En betryggande nät- verks- och informationssäkerhet på alla samhällsområden och på alla nivåer är därför grundläggande för den fortsatta utvecklingen av en säker, innovativ och effektiv digital samhällsverksamhet och förvalt- ning. Den påverkan som den mer generella utvecklingen av sam- hällets digitalisering, och därtill kopplade krav på bl.a. säkra nätverks- och informationssystem, medför går inte att bortse från när en analys ska göras av behovet av att stärka säkerheten i nätverks- och informationssystem i säkerhetskänslig verksamhet. Detta blir även en utgångspunkt för utredningens fortsatta analys och överväganden i de frågor som tas upp i utredningsdirektiven.
90
4Digitalisering och informations- och cybersäkerhet
Bedömning: Digitaliseringen i samhället sker snabbt och i stor omfattning inom de flesta samhällssektorer. Digitalisering med- för nya arbetssätt, som bygger på nya tekniska möjligheter att samla in stora mängder data. Förändringsfaktorer, bl.a. utveck- lingen av ny teknik, medför att nya sårbarheter och risker upp- står. Informations- och cybersäkerhet i samhället i stort och inom olika samhällsviktiga områden utvecklas inte i motsvarande grad vilket innebär att gapet mellan digitalisering och informations- och cybersäkerhet ökar över tiden. Detta medför även ökade ris- ker för cyberangrepp mot eller
4.1Inledning
Den pågående digitala utvecklingen i Sverige och i världen går på många plan mycket fort och statliga myndigheter, regioner, kom- muner och aktörer i näringslivet bedriver sedan många år olika digitaliseringsarbeten. Digitaliseringen påverkar hela samhället och området kan beskrivas som horisontellt, bl.a. för att det omfattar alla samhällssektorer. På samma sätt som utvecklingen av digitaliser- ingen kan föra med sig fördelar kan den också föra med sig nya eller förändrade hot och sårbarheter.
91
Digitalisering och informations- och cybersäkerhet |
SOU 2021:63 |
för fjärruppkoppling, anskaffa teknisk utrustning och nyttja olika tekniska tjänster.
Mot bakgrund av utvecklingen av digitalisering inom olika sam- hällsverksamheter, bl.a. säkerhetskänslig verksamhet, och betydel- sen av stärkt informations- och cybersäkerhet behandlas dessa frågor översiktligt i detta kapitel. Syftet är att belysa betydelsen av infor- mations- och cybersäkerhet när frågor om digitaliseringen behand- las, med fokus bl.a. på olika förändringsfaktorer som utgör utmaningar och ökade sårbarheter och risker för denna säkerhet.
4.2Bakgrund
Riksdagen har vid åtskilliga tillfällen fått ta ställning till proposi- tioner och skrivelser om digitaliseringen och informationsteknikens betydelse för samhällets utveckling inom många olika områden. Rege- ringen har lämnat förslag till mål, strategier och ett antal andra åt- gärder, lagförslag, lägesrapporter om den digitala utvecklingen och lyft fram statens och den offentliga förvaltningens ansvar och upp- gifter i denna utveckling, m.m. Regeringen har även tillsatt utred- ningar i kommittéväsendet för att utreda och lämna förslag om olika frågor som har med digitalisering och it att göra inom olika samhälls- områden och om förvaltningens digitala organisering och utveck- ling. Regeringen har också tillsatt utredningar i kommittéväsendet med operativa uppgifter att utveckla
Samtidigt har myndighetsansvaret för digitaliserings- och
92
SOU 2021:63 |
Digitalisering och informations- och cybersäkerhet |
fattningsvis kan noteras att det har sedan
Dagens digitaliseringsstrategier föregås en rad utredningar under 1980- och
Digitaliseringskommissionen, som bildades av regeringen i juni 2012 och som utgjorde
De rapporter som publicerats av Digitaliseringskommissionen och andra aktörer visar att analyserna har vidgats från ett infrastruk- tur- och teknikfokus till ett bredare samhällsperspektiv som betrak- tar digitaliseringen som en transformerande kraft som påverkar sam- hället på alla nivåer. Även begreppen förändras från ADB till IT till det nuvarande begreppet digitalisering.
1SOU 2017:23, s. 51 ff. I delbetänkandet lämnas en översiktlig redogörelse för regeringens ambitioner för utvecklingen och digitaliseringen av den offentliga förvaltningen och det orga- niserade stödet av denna utveckling under den senaste
2Se t.ex. Framtidssäker
3Digitaliseringskommissionen – en kommission för den digitala agendan, Dir. 2012:61.
4En digital agenda i människans tjänst – Sveriges digitala ekosystem, dess aktörer och drivkrafter (SOU 2013:31); En digital agenda i människans tjänst – en ljusnande framtid kan bli vår (SOU 2014:13); Gör Sverige i framtiden – digital kompetens (SOU 2015:28); Om Sverige i fram- tiden – en antologi om digitaliseringens möjligheter (SOU 2015:65); Digitaliseringens transformerande kraft – vägval för framtiden (SOU 2015:91) och Digitaliseringens effekter på individ och samhälle – fyra temarapporter (SOU 2016:85). Kommissionens arbete avslutades i och med slutbetänkandet För digitalisering i tiden (SOU 2016:89).
93
Digitalisering och informations- och cybersäkerhet |
SOU 2021:63 |
4.3Politikens mål för digitalisering
4.3.1Digitaliseringsstrategier
I Sverige har det tagits fram en rad strategier för att tillvarata digi- taliseringens möjligheter. Det övergripande målet i den nuvarande digitaliseringsstrategin är, som tidigare berörts, att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. För att nå detta mål har ett antal delmål avseende digital kompetens m.m. for- mulerats (kapitel 3).
Regeringen inrättade i mars 2017 Digitaliseringsrådet – inom Reger- ingskansliet – som stöd i arbetet med att förverkliga dessa mål. Digi- taliseringsrådets uppgift är att bidra till bättre samordning och ett effektivt genomförande av regeringens strategiska arbete med digita- lisering. Digitaliseringsrådet är direktrapporterande till digitaliser- ingsministern. Rådets uppgift är i korthet att:
–följa och stödja regeringens arbete med digitalisering,
–följa digitaliseringen i Sverige,
–följa digitaliseringen i omvärlden och jämföra hur Sverige preste- rar mot andra länder, och
–lämna förslag till konkreta insatser samt samråda med andra funk- tioner som regeringen inrättat för att arbeta med samhällets digi- talisering.
Den övergripande digitaliseringsstrategin är dock inte den enda stra- tegin av relevans för digitaliseringsfrågor. I Digitaliseringsrådets rap- port En lägesbild av digital ledning5 2018 ges en översikt av närliggande strategidokument som också har påverkan på digitaliseringsfrågorna.6 Digitaliseringsrådet lämnar i rapporten även en uppdaterad läges- bild av de fem delmål som anges i digitaliseringsstrategin. Lägesbil- derna, tillsammans med Digitaliseringskommissionens slutbetänkande7, utgör en bas för det vidare arbetet när gäller förståelse om viktiga utmaningar och möjligheter. Under 2019 inriktades rådets verksam-
5En lägesbild av digital ledning, Digitaliseringsrådet, 2018.
6Bl.a. Nationell strategi för informations- och cybersäkerhet, Demokratistrategin, Regeringens strategi för standardisering, Bredbandsstrategin, Nationell inriktning för artificiell intelligens (inte formellt en strategi), Regeringens strategi för en digitalt samverkande statsförvaltning, m.m.
7Digitaliseringskommissionens slutbetänkande Digitaliseringens transformerande kraft – väg- val för framtiden (2015:91).
94
SOU 2021:63 |
Digitalisering och informations- och cybersäkerhet |
het på att fortsätta följa utvecklingen, där analysarbetet är en stor utmaning.8
4.3.2Utvecklingen
Digitaliseringskommissionen konstaterar att digitaliseringen utgör katalysator och motor i samhällsutvecklingen sedan ett par decen- nier. Utvecklingen innebär helt nya förutsättningar för samhället och människan. Digitaliseringen och användningen av ny teknik föränd- rar förutsättningar och villkor för offentlig sektor och företag, för arbetsliv och utbildning och för tillit och social sammanhållning i samhället. Det som är särskilt kännetecknande för den av digitaliser- ingen drivna samhällsutvecklingen är hastigheten. Utvecklingen är exponentiell. Det beror på att informations- och kommunikations- tekniken (IKT) kontinuerligt och snabbt utvecklar nya användnings- områden och funktioner, högre prestanda samt att användarnas in- tresse för och kompetens att använda tekniken ständigt växer och driver utvecklingen.9 Digitalisering innebär digital kommunikation och interaktion mellan människor, verksamheter och saker, dvs. möj- ligheten att samla in, tolka, tillämpa och utveckla allt större kvantiteter av data. Interaktionen via digitala plattformar gör att transaktions- kostnaderna för kontakt och kommunikation, varor och tjänster blir låga. Det innebär en växande marknad även för digitala mellanhänder. Traditionell administrativ handläggning minskar betydligt i det digitala samhället. Eftersom allt som sker digitalt lämnar digitala spår möjlig- görs insamling och tolkning av stora mängder data. Dessa data kan tillämpas för olika saker, såsom kunskapsuppbyggnad och analys, utveckling av tjänster och varor och för kvalitets- och förbättrings- arbete inom de flesta områden. Analys av stora mängder data innebär att kunskap om och förståelse av människan, samhället och miljön kommer att förändras. Det påverkar sättet att arbeta med olika ut- maningar inom de flesta samhällsområden.
Begreppet digitalisering har även blivit ett ledord för många aktö- rer som vill lyfta fram innovation, utveckling, framtid, förändring och
–som det uttrycks – en pågående revolution. Kungl. Ingenjörsveten- skapsakademien (IVA) bedömer att
8
9Digitaliseringskommissionens slutbetänkande Digitaliseringens transformerande kraft – väg- val för framtiden (2015:91), s. 57.
95
Digitalisering och informations- och cybersäkerhet |
SOU 2021:63 |
digitaliseringen innebär en mycket snabb och genomgripande samhälls- förändring, en fjärde industriell revolution.10
Innebörden av denna revolution brukar beskrivas i termer av djup- gående förändringar som påverkar såväl strukturer som individer. Digitaliseringens globala och gränsöverskridande karaktär påverkar alla samhällssektorer men begränsar samtidigt enskilda staters makt i förhållande exempelvis till globalt verkande företag. Det offentliga har dock fortfarande ett ansvar eftersom enskilda företag inte be- höver eller förmår att ta ansvar för helheten eller konsekvenser av digitaliseringen som uppstår i andra eller tredje ledet.
I vid mening syftar begreppet digitalisering på processer som förändrar eller skapar något nytt genom användning och integrering av digital teknik. En förutsättning för att digitalisera är att informa- tion finns tillgänglig i digitalt format. Myndigheten för digital för- valtning (DIGG) bedömer att på senare tid har det skett en tydlig ambitionshöjning vad gäller den digitala förvaltningen i Sverige. Sedan bildandet av DIGG år 2018 har flera större projekt initierats. Det handlar framför allt om etablerandet av en förvaltningsgemen- sam digital infrastruktur för informationsutbyte, etableringen av flera nationella grunddatadomäner och ett intensifierat arbete med öppna data. Även styrningen av den offentliga sektorns digitalisering, som tidigare präglades av fragmentering och ett stort självbestämmande, har ändrat fokus och handlar i dag mycket om att öka helhetssynen och konsolidera och standardisera de komponenter och lösningar som behövs i hela eller stora delar av förvaltningen. Denna utveck- ling bedöms kunna ha stor positiv inverkan på den svenska förvalt- ningens förutsättningar att tillvarata digitaliseringens möjligheter.11
Arbetet med digital infrastruktur
Myndigheten för digital förvaltning (DIGG) leder ett arbete med att etablera en hållbar digital infrastruktur som ska möjliggöra ett effek- tivt och säkert utbyte av information inom och med det offentliga. Utvecklingen av infrastrukturen ska främja nya förvaltningsgemen- samma tjänster och lösningar för framtiden. Om Sverige ska kunna
10Digitalisering för ökad konkurrenskraft, Kungl. Ingenjörsvetenskapsakademien (IVA), 2019, s. 7.
11
96
SOU 2021:63 |
Digitalisering och informations- och cybersäkerhet |
möta kommande samhällsutmaningar, bibehålla välfärden och nå eko- nomisk, social och ekologisk hållbarhet krävs det att svensk offentlig förvaltning utvecklar nya gemensamma lösningar, tillsammans. Digi- talisering är det viktigaste verktyget för att skapa en effektiv och ändamålsenlig förvaltning för framtiden. Ökad tillgång till data och ett ökat informationsflöde mellan aktörer bäddar för stora effekt- hemtagningar i form av bl.a. tidsvinster, minskad administrativ börda och lägre kostnader inom det offentliga. Infrastrukturen möjliggör även att nya datadrivna tekniker, såsom artificiell intelligens (AI), kan användas för att öka innovationsförmågan och ge bättre service. En fullt utvecklad digital infrastruktur ska underlätta för medborgare och företagare i deras myndighetskontakter både nationellt och inom EU, där en uppgift till exempel bara ska behöva lämnas en gång.
DIGG har – inom ramen för två regeringsuppdrag – tillsammans med ett stort antal andra myndigheter påbörjat etableringen av de beståndsdelar som ska ingå i den digitala infrastrukturen. Under 2021 och framåt intensifieras arbetet med att bygga upp en hållbar infra- struktur som ska vara säker, enkel och effektiv att använda. Infra- strukturen består i sin enklaste form av ett antal så kallade byggblock som tillsammans utgörs av standarder, modeller, ramverk, strukturer och tjänster. Till detta finns även ett nationellt ramverk för grund- data och en struktur för styrning.12
4.4Internationella jämförelser (index)
Digitaliseringsrådets uppgift är att följa Sveriges utveckling ur ett internationellt perspektiv. Det sker bland annat genom uppföljningen av ett antal internationella index. Indexen presenterar av olika inter- nationella aktörer och uppdateras i regel en gång per år. Syftet med ett index är att på ett åskådligt sätt jämföra länder med varandra och är uppbyggt genom att mätpunkter inom utvalda områden sam- manvägs för att ranka länder.
12De myndigheter som har uppdragen att etablera en förvaltningsgemensam digital infrastruk- tur och ett nationellt ramverk för grunddata är Bolagsverket, DIGG, Domstolsverket,
97
Digitalisering och informations- och cybersäkerhet |
SOU 2021:63 |
Sammanfattning av Sveriges placeringar
Sverige har under många år presterat bra i internationella jämförelser och rankas genomgående högt. Utifrån de index som redovisas presterar Sverige bra vad gäller infrastruktur och individers använd- ning i form av till exempel internetanvändning. Några av indexen visar på en lägre rankning för företagens användning av digitaliser- ing. Det område där Sverige presterar lägst är
Såväl Digitaliseringsrådet som Digitaliseringskommissionen an- ser att de internationella jämförelserna täcker endast in delar av de aspekter och trender som bör följas. Djupare kunskap behöver ut- vecklas för att få en adekvat uppfattning om hur Sverige ligger till i förhållande till det yttersta målet ”att bli bäst i världen att använda digitaliseringens möjligheter”. T.ex. behövs det tas fram nya indika- torer. Statistiken bör även kompletteras med andra typer av studier som ger kunskap om variationer, mönster och orsakssamband.
13Se
98
SOU 2021:63 |
Digitalisering och informations- och cybersäkerhet |
4.5Digitala sårbarheter
De visioner och strategier som framhåller digitaliseringens möjlig- heter påpekar att utvecklingen i Sverige verkar gå långsammare jäm- fört med andra länder. Samtidigt finns risk för att digitaliseringen medför att säkerhetsfrågorna förs in alltför sent i processen, vilket negativt kan påverka olika digitaliseringssatsningar.
Regeringens delmål digital ledning pekar på vikten av att verk- samheter effektiviseras, utvecklas och får högre kvalitet genom styr- ning, mätning och uppföljning. Digitaliseringsrådet menar att den svenska förvaltningen behöver moderniseras och effektiviseras och drar slutsatsen att offentlig sektor behöver kunna svara upp mot växande krav på både ökad informations- och cybersäkerhet och effektivitet i verksamheterna i förening med ökad servicegrad och digitala tjänster.
Digitaliseringens möjligheter beror även på i vilken grad meto- derna, bl.a. tillämpning av AI och automatisering, kommer att leda fram till målen om ökad kvalitet och effektivitet. Strävan att auto- matisera olika processer sker i syfte att uppnå ökad kostnadseffekti- vitet och besparingar. Många offentliga utredningar och rapporter framhåller att en ökad digitalisering kan skapa större kostnadseffek- tivitet. Forskning om kostnader för implementering av nya tekniska system visar dock att det kan dröja länge innan ny teknik ger avkast- ning i termer av ökad produktivitet och/eller minskade kostnader.14 Vad gäller att digitalisering av komplexa verksamheter kan i själva verket kostnaden vara avsevärd, bl.a. genom att införandet av ny tek- nologi och nya arbetssätt och som medför en längre process där olika mål och behov behöver beaktas samtidigt.
Som tidigare berörts medför digitaliseringen såväl ökade tekniska möjligheter som nya risker och sårbarheter. I Digitaliseringsrätts- utredningen betänkande 2018 konstaterades att den politiska inrikt- ningen i Sverige är att den offentliga förvaltningen ska leda vägen när det gäller den digitala omvandlingen och att ny teknik gärna ska tas i bruk tidigt. I betänkandet påpekas att detta mål samtidigt medför att det kommer att finnas ett växande behov av ett informations- och cybersäkerhetsarbete i myndigheternas informationshantering. Ett ökande behov av arbete med informations- och cybersäkerhet med-
14Vilse i lasagnen? – En upptäcktsfärd i den svenska digitaliseringens mångbottnade problem- struktur, s. 21,
99
Digitalisering och informations- och cybersäkerhet |
SOU 2021:63 |
för kostnader, vilket erfarenhetsmässigt dock många gånger inte be- aktas när kostnader för verksamheten ska beräknas. Om kostnads- besparingar utgör en drivande kraft för att digitalisera finns en tydlig risk för att bl.a. behovet av
Ett argument för en ökad digitalisering av olika samhällsverk- samheter är att ökad automatisering kan frigöra resurser från mer rutinartad administration och i stället tillföras verksamhetens kärn- uppgifter. Automatisering brukar dock inte bara presenteras i termer av behov utan också i termer av nya möjligheter. Bl.a. Vinnova har i en rapport om artificiell intelligens (AI)15 betonat att utvecklingen av nya systemlösningar, tjänster och varor inom både offentlig sek- tor och näringslivet rymmer en stor potential för bl.a. ökad effek- tivitet. Vinnova pekar även på ett antal utmaningar och risker, bl.a. risken att
I vilken grad digitalisering kan möta olika typer av utmaningar och t.ex. öka kvaliteten och effektiviteten i olika samhällsverksam- heter är dock en fråga som inte är begränsad till enbart tekniska aspekter. Avgörande är samtidigt hur dessa utmaningar ser ut och vad som menas med begrepp som kvalitet och effektivitet i sam- hällets olika verksamheter samtidigt som säkerheten i nätverks- och informationssystem kan uppnås.
Ett grundläggande problem som uppkommer kan handla om under- skattningar av den tid som krävs för att skapa säkra och användar- vänliga system, vilket kan medföra bristfälliga lösningar. Detta kan få allvarliga följdverkningar genom sårbarheter och säkerhetsbrister byggs in i de nya systemen. Samtidigt som signalen från strategi- dokumenten är att myndigheterna ska vara drivande vad gäller digi- talisering finns det ett gap mellan behovet av säkerhet och förutsätt- ningarna att bedriva säkerhetsarbete.
15Artificiell intelligens i svenskt näringsliv och samhälle – Analys av utveckling och potential, Vinnova, 2018.
100
SOU 2021:63 |
Digitalisering och informations- och cybersäkerhet |
Sammantaget förmedlas dock i flera rapporter att möjligheterna för ökad effektivitet många gånger väger tyngre än riskerna, oavsett om det gäller digitalisering i allmänhet eller användningen av AI eller ökad automatisering.
Brister i styrningen och samordningen
Flera utredningar och rapporter har identifierat behovet i Sverige av att stärka styrningen och samordningen av digitaliseringen, särskilt när det gäller utbyggnad av infrastruktur och samordning av infor- mationssäkerhetsarbetet.16 Mot bakgrund av mängden offentliga aktö- rer är detta en uppgift av betydande omfattning då frågan berör bl.a. fler än 200 statliga förvaltningsmyndigheter, 21 länsstyrelser, 20 regio- ner, 290 kommuner, fler än 100 andra offentliga aktörer och cirka 40 helägda statliga bolag. Det är en omfattande förvaltning som kom- pliceras av stora skillnader mellan verksamheterna vad gäller storlek, geografi, uppdrag, finansiella resurser och kompetens. Alla ska dock med i den digitala transformationen.17 Dessutom tillkommer alla de privata företag som på något sätt driver och förvaltar samhällets infra- struktur.
Kungl. Ingenjörsvetenskapsakademien (IVA) påpekar i rappor- ten Digitalisering för ökad konkurrenskraft att Sverige har en avregle- rad marknad med olika skikt av infrastrukturproducenter, operatö- rer och tjänsteutvecklare, som å ena sidan har många fördelar men som å andra sidan lider av bristande helhetssyn och samordning. Sverige är mycket nära en situation där alla vitala samhällsfunktioner kräver en välfungerande digital infrastruktur. Denna förutsätts fun- gera minst lika säkert som annan infrastruktur men det saknas regler och planer för drift och utbyggnad. Ansvaret ligger i stället på många händer och samordningen brister på både statlig och kommunal nivå.
Enligt IVA är grundläggande infrastruktur för digital kommuni- kation i Sverige är av de viktigaste områdena att styra och samordna. Den svenska digitala infrastrukturen är, menar IVA, uppbyggd en- ligt en lasagnemodell med olika lager av verksamheter, men styrning och samordning är inte fullt ut anpassade till detta. Modellen för-
16Digitalisering för ökad konkurrenskraft, IVA, 2019, s. 49 och 50; Vetenskapsrådets guide till infrastrukturen, Vetenskapsrådet, 2018; Digitalisering av det offentliga Sverige (ESV 2018:31), Ekonomistyrningsverket (ESV), 2018.
17Digitaliseringsrådet, 2018, s. 48.
101
Digitalisering och informations- och cybersäkerhet |
SOU 2021:63 |
utsätter att statliga myndigheter och kommuner både investerar och utövar tillsyn, samtidigt som privata aktörer är ansvariga för vitala delar av infrastrukturen. Syftet med samordning och styrning är att se till att både befintliga och nya delar av infrastrukturen har tillräck- lig säkerhet, robusthet och kapacitet. Styrningen och samordningen av digitaliseringsfrågorna är, menar IVA, dock svag och otillräcklig.18
I betänkandet reboot – omstart för den digitala förvaltningen 2017 påpekas att risken för att de krav på informations- och cybersäkerhet som utfärdas i praktiken fördröjs eller aldrig blir utförda på grund av oklara ansvarsförhållanden.19 Utredningen påpekar vidare att det finns en risk för ökad fragmentering av kravställningar när fler aktörer utan samordning utfärdar regler på området, något som kan leda till att samma typ av information riskerar att få helt olika skydd bero- ende på var i förvaltningssystemet som den hanteras.20
En fråga som kan uppkomma när behovet av digitalisering be- handlas är skillnaden mellan förväntningar och verklighet. Förvänt- ningar kan leda till missförstånd om vad digital teknik kan åstad- komma. För aktörerna på den öppna marknaden, som i många avse- enden styr hur infrastrukturen och nätverks- och informations- systemen ska utveckla, strävar ofta efter låga kostnader och effektivitet snarare än säkerhet på samhällsnivå och genomtänkt systemfunktion för offentlig verksamhet. Detta leder till en betydande risk att be- hovet av säkerhet och tillförlitlighet på den högre systemnivån inte tillgodoses, bl.a. vad gäller stora system och i systemet ingående kom- munikationer, elförsörjning och påverkan på samhällseffekter. Ett scenario med ett större cyberangrepp och sammanbrott i samhällets funktionalitet, t.ex. mot elförsörjningen, kan få mycket allvarliga och svåra följder för hela eller vitala delar av samhällets funktion.21
Brister i infrastrukturen och sårbarheter med ny teknik
Enligt IVA finns i dag ett gap mellan infrastrukturens kapacitet och de digitala tjänsternas faktiska behov av kapacitet. Hos viktiga be- slutsfattare såväl som i samhället i stort saknas dock kunskap om att
18IVA, 2019, s. 49 och 50.
19SOU 2017:114, s. 164.
20A.a.
21SOU 2019:59, s. 19 (jfr även s. 22 och 23).
102
SOU 2021:63 |
Digitalisering och informations- och cybersäkerhet |
detta gap existerar.22 Detta är allvarligt anser IVA, som menar att det saknas en omfattande kontroll av kvalitet och driftsäkerhet för den digitala infrastrukturen. Det innebär en mycket stor riskaggregering när man utgår från att många funktioner ska fungera. En bakgrund till dessa förhållanden är – enlig IVA – bristande samordning av ut- byggnaden av infrastrukturen. Dagens nationella
Nya tekniker medför ofta även brister i tekniken som i sig inne- bär sårbarheter. Ny teknik behöver därför testas i skyddade miljöer och introduceras med försiktighet och i lagom takt. För att åstad- komma en kontrollerad och strukturerad utbyggnad av ett nytt system, eller en ny teknik, krävs agenda och planering. Tekniska standarder kan fylla denna funktion och tillämpas ofta just med det syftet. En utmaning är att det kan finnas olika incitament att bygga ut eller exploatera teknik, och att alla incitament inte innebär att tekniken blir säker när den väl är på plats. Om teknik byggs ut i stor skala, med många latenta fel eller sårbarheter kan stora tekniska och säkerhetsmässiga utmaningar följa för att åtgärda problemen. Om tekniken, och därmed dess sårbarheter, sprids okontrollerat kan be- tydande problem uppstå. I bästa fall åtgärdas sårbarheterna löpande, men om utvecklingen är snabb kan detta vara svårt, särskilt om sår- barheterna initialt är okända. Ett exempel som framhålls är utveck- lingen av IoT, vilket kommer att medföra stora utmaningar när det gäller säkra produkter och tjänster ur ett informations- och cyber- säkerhetsperspektiv. Ett annat exempel är bristfälligt genomförda satsningar på ”smarta städer” som inte beaktar risker och sårbarheter med att koppla upp och ihop många olika typer av sensorer och funk- tioner. Denna typ av digitala tjänster möjliggör potentiellt effektivi- seringar men också att många funktioner kan slås ut samtidigt. Om produkter förses med uppkopplingsmöjligheter ger det utrymme för tekniken att användas t.ex. i en säkerhetskänslig miljö. Om upp- kopplingsmöjligheten till en början är okänd, t.ex. för att den införts
22IVA, 2019, s. 7.
23Att motverka överbelastning av samhällsviktiga webbplatser – Slutrapport 2018 från projekt Särimner, Vetenskapsrådet, 2018.
103
Digitalisering och informations- och cybersäkerhet |
SOU 2021:63 |
längre bak i leverantörskedjan, kan det initialt finnas svårigheter till spårbarhet I detta fall är risken att de tekniska installationerna, sär- skilt om de är mångfaldigade, kan bli en, vissa fall dold, hävstång för angrepp mot t.ex. kritisk infrastruktur eller i övrigt säkerhetskäns- liga informationssystem.
En av de mer i dag uppmärksammade teknikerna är den femte generationens telekommunikation (5G). Tekniken innebär en kapa- citetshöjning, dvs. högre dataöverföringshastigheter, större antal sam- tidigt anslutna enheter och kortare svarstider. Dessa tekniska för- bättringar innebär i sin tur att förutsättningar för att bygga digitalt smarta hem och städer ökar då fler uppkopplade enheter kan an- slutas. Risker och sårbarheter med tillämpningen av 5G har uppmärk- sammats i olika sammanhang, bl.a. av Enisa och olika medlemsstater.24
Andra exempel som medför risker och sårbarheter är produkter och tjänster med många användare, t.ex. operativsystem, molntjäns- ter och sökverktyg. När många är beroende av funktion och säkerhet i en enda produkt eller tjänst kan en sårbarhet där orsaka stora kon- sekvenser om den nyttjas av en angripare eller på annat sätt utsätts för oväntade händelser.
När en ny eller befintlig teknik ska byggas ut för att tillgodose framtidens krav så måste även infrastrukturen och säkerheten, och den redundans som krävs, stärkas i motsvarande takt och omfatt- ning. Det kan många gånger vara svårt för verksamheten att förstå hur system är uppbyggda och vilka beroenden som finns, speciellt om de upphandlas från en extern part. En enskild leverantör kan svara för funktioner hos många olika verksamheter, till exempel inom myn- digheter och andra offentliga aktörer.
En annan utmaning i detta sammanhang är att det i dag är ett fåtal stora teknikföretag som tillsammans har stor makt över det som sker på t.ex. internet. Företagen står för står för en betydande del av den informationshantering och teknik som används i dag. Denna mark- nad fungerar i dag som ett oligopol, vilket bör beaktas när frågan om informations- och cybersäkerhet diskuteras och hanteras.
24Se bl.a. Enisa: SECURITY IN 5G SPECIFICATIONS – Controls in 3GPP Security Specifica- tions (5G SA), 2021.
104
SOU 2021:63 |
Digitalisering och informations- och cybersäkerhet |
4.6Digitalisering och informations- och cybersäkerhet i otakt
Informations- och cybersäkerhetsarbete är en stödjande verksamhet som syftar till att bl.a. öka säkerheten i nätverks- och informations- system i olika samhällsverksamheter. I och med den ökande digita- liseringen är informations- och cybersäkerhet en förutsättning för att nya verksamheter som uppstår, och ny teknik som utvecklas, ska kunna fungera och användas på ett säkert sätt. Informations- och cybersäkerhet innebär en strävan efter att skydda information så att den alltid finns när den behövs (tillgänglighet), att det går att lita på att den är korrekt och inte manipulerad eller förstörd (riktighet), att endast behöriga personer får ta del av den (konfidentialitet) och att det går att följa hur och när informationen har hanterats och kom- municerats (spårbarhet). Den syftar även till att skydda nätverks- och informationssystem i övrigt.
Myndighetens för samhällsskydd och beredskap (MSB) övergri- pande arbete med att stödja och samordna arbetet med samhällets informations- och cybersäkerhet inriktas på strategisk nivå av den nationella informations- och cybersäkerhetsstrategin, som anger sex strategiska prioriteringar:
•Säkerställa en systematisk och samlad ansats i arbetet med infor- mations och cybersäkerhet.
•Öka säkerheten i nätverk, produkter och system.
•Stärka förmågan att förebygga, upptäcka och hantera cyber- attacker och andra
•Öka möjligheterna att förebygga och bekämpa
•Öka kunskapen och främja kompetensutvecklingen.
•Stärka det internationella samarbetet.
Förutom MSB finns en rad statliga aktörer som har olika roller för det nationella arbetet med informations- och cybersäkerhet, bl.a. Säkerhetspolisen Försvarsmakten, Försvarets radioanstalt (FRA), Försvarets materielverk (FMV), Post- och telestyrelsen (PTS) och Polismyndigheten. Myndigheternas arbete samordnas sedan 2020
105
Digitalisering och informations- och cybersäkerhet |
SOU 2021:63 |
genom det nationella cybersäkerhetscentret. Regeringen har också gett berörda myndigheter uppdrag att ta fram en samlad handlings- plan med förslag på olika åtgärder som kan stärka Sveriges arbete med informations- och cybersäkerhet. Dessa förslag konkretiserar behov och rekommendationer som identifierats på en mer övergripande nivå i den nationella informations- och cybersäkerhetsstrategin.
Digitaliseringsrådet konstaterar att det ser ut ungefär på samma sätt i andra undersökta länder, dvs. att det finns en digitaliserings- strategi men även ett antal andra strategier som berör specifika aspek- ter av digitaliseringen och ofta på liknande områden som i Sverige. Samtidigt kan noteras att det i Sverige finns en grupp av myndigheter som fokuserar på digitaliseringens möjligheter, t.ex. ur ett effekti- viseringsperspektiv, och en annan grupp som fokuserar på olika typer av hot, risker och sårbarheter. I takt med ökad digitalisering kommer en ökad samverkan och samordning mellan dessa grupper att få stor betydelse för utvecklingen i sin helhet, annars riskerar gapet mellan digitalisering och informations- och cybersäkerhet att öka ytter- ligare (se nedan).
Gapet mellan digitalisering och informations- och cybersäkerhet ökar
Den digitala utvecklingen i samhället går snabbt men däremot ökar inte informations- och cybersäkerheten i samma takt. Det innebär att informations- och cybersäkerhetsgapet som uppstår ökar ris- kerna för att drabbas av ett cyberangrepp eller en
106
SOU 2021:63 |
Digitalisering och informations- och cybersäkerhet |
Figur 4.1 Digitalisering och informationssäkerhet i otakt
Gapet kan dock minska genom olika åtgärder, bl.a. genom ett ökat systematiskt informationssäkerhetsarbete och åtgärder som stärker
Inom informations- och cybersäkerhetsområdet betonas ofta vikten av att verksamheter inför ledningssystem för informations- säkerhet (LIS). Ledningssystem för
God informations- och cybersäkerhet bidrar till att en verksam- het kan bedrivas på ett säkert, ändamålsenligt och effektivt sätt, att risken för att drabbas av avbrott eller störningar i driftmiljön mins- kar. God informations- och cybersäkerhet är också en grundläg-
25MSB har utvecklat ett metodstöd för systematiskt informationssäkerhetsarbete. Metod- stödet finns tillgängligt på webben: www.informationssakerhet.se.
26Se t.ex. den svenska och internationella standardserien
107
Digitalisering och informations- och cybersäkerhet |
SOU 2021:63 |
gande byggsten för den fortsatta utvecklingen av en säker, innovativ och effektiv digital förvaltning.
Samtidigt som digitaliseringens fördelar välkomnas står det klart att de risker och hot som behöver hanteras i dessa sammanhang är några av våra mest komplexa säkerhetsutmaningar. Säkerhetspolisen konstaterar att den största risken för samhället och totalförsvaret utgörs av bristande informationssäkerhet.27 Försvarets radioanstalt (FRA) framhåller att säkerheten generellt hos myndigheter och statliga bolag inte är dimensionerad för den befintliga hotbilden.28 Dessa uttalanden ska ses i ljuset av att det sker en ständigt växande hantering av information i nätverks- och informationssystem, både i offentlig och enskild verksamhet. Om det uppstår brister i hanter- ingen av information i nätverks- och informationssystem, och i skyddet av densamma, riskerar det att få omfattande konsekvenser både för samhället i stort och för enskilda. Brister i informations- och cybersäkerheten, t.ex. bristande säkerhetsrutiner, kan medföra allvarliga och upprepade störningar i myndigheters nätverks- och in- formationssystem som kan sprida sig till andra sektorer och aktörer.
Utvecklingen och användningen av ny teknik och nya innovatio- ner innebär att nya hot och risker behöver hanteras. Hot och risk- skalan inom det informationsteknologiska området spänner från mindre omfattande risker till väl planerade, och med precision rik- tade, angrepp mot vitala delar av samhällets funktionalitet. Även antagonistiska hot såsom informationsoperationer och elektroniska angrepp mot skyddsvärda nätverks- och informationssystem, t.ex. i form av dataintrång, sabotage eller spionage behöver mötas. Det- samma gäller olika former av störningar i mjuk- eller hårdvara eller störningar i driftmiljö. Yttre fysiska händelser som t.ex. bränder, av- grävda kablar, översvämningar och solstormar utgör också en del av hotbilden. I andra fall är det den mänskliga faktorn som kan utnytt- jas vid cyberangrepp eller som ligger bakom
27Säkerhetspolisens årsbok 2016, s. 40.
28FRA:s årsrapport 2016, s. 19.
108
SOU 2021:63 |
Digitalisering och informations- och cybersäkerhet |
Sammantaget finns således en rad inriktande initiativ och flera olika styrande dokument som anger vikten av att digitalisering sker i Sverige och att informations- och cybersäkerheten behöver stärkas på många olika verksamhetsområden. Sverige placerar också sig bra i interna- tionella digitaliseringsindex samtidigt som det finns en bekymmer- sam bild över utvecklingen när det gäller informations- och cyber- säkerheten inom många olika samhällssektorer (se även kapitel 8).
109
5Utvecklingen av hot, sårbarheter och risker
5.1Inledning
I detta kapitel lämnas en översiktlig redogörelse över hot, sårbar- heter och risker som påverkar behov av stärkt informations- och cybersäkerhet, såväl allmänt som vad gäller säkerhet i nätverks- och informationssystem i säkerhetskänslig verksamhet. Syftet med redo- görelsen är dock inte att beskriva alla olika typer av hot, risker och sårbarheter som föreligger då sådana sammanställningar redan finns tillgängliga.1
5.2Hot, sårbarheter och risker
Digitaliseringen påverkar hela samhället och vår säkerhet och eko- nomiska välstånd vilar allt mer på digitala grunder. I dag betraktar därför de flesta länder informations- och cybersäkerhet som en stor nationell utmaning och denna säkerhet anses vara av såväl säker- hetspolitisk som utrikespolitisk och därigenom även av strategisk betydelse. Flera av de samhällsviktiga system som är kritiska för att upprätthålla samhällets funktionalitet är redan i fredstid sårbara för angrepp och störningar. Den teknologiska utvecklingen, utbredningen av digitala lösningar och ökade datavolymer skapar stora möjligheter men innebär samtidigt sårbarheter och risker för såväl samhället i stort som för enskilda myndigheter och andra aktörer, bl.a. i närings- livet.
1Se bl.a. World Economic Forum, 2019. Hotbilden inom
111
Utvecklingen av hot, sårbarheter och risker |
SOU 2021:63 |
De hot, sårbarheter och risker som digitaliseringen medför utgör komplexa säkerhetsutmaningar. Hoten blir svårare att upptäcka, be- roenden blir svårare att överskåda och sårbarheterna och riskerna blir mer svårbedömda. Exempel på sådana utmaningar är antagonistiska hot som informationsoperationer och cyberangrepp mot skyddsvärda nätverks- och informations, t.ex. i form av spionage, sabotage och dataintrång mot totalförsvarets verksamhet.
Ett cyberangrepp eller storskalig
Uppkopplad samhällsviktig verksamhet
Stora delar av den samhällsviktiga infrastrukturen, t.ex. energi, och kommunikationer, har industriella informations- och styrsystem2 som är uppkopplade mot internet. Dessa system behöver inte alltid vara internetanslutna, men av effektivitetsskäl är de ofta uppkopp- lade mot internet, som ger åtkomst från distans. Många av dessa system är äldre och har därför ofta sårbarheter som en hotaktör kan utnyttja (se kapitel 8). Antalet sårbarheter som är specifika för indu- striella informations- och styrsystem har ökat kraftigt under senare år. Det är ofta en utmaning att på ett ändamålsenligt sätt säkerhets- uppdatera systemen då de inte är byggda för att regelbundet upp- dateras. Detta förstärks av att verksamhetsutövare ofta inte har ut- rymme eller resurser att tillåta att dessa system får förändras, är avstängda eller att åtgärder som medför fördröjningar i datatrafiken införs. Dessa system och de processer de upprätthåller måste dock ha ett adekvat skydd över hela livslängden, som i vissa fall kan uppgå
2S.k. Industrial control systems/supervision control accusation data (ICS/SCADA).
112
SOU 2021:63 |
Utvecklingen av hot, sårbarheter och risker |
till mer än 20 år, och verksamhetsutövarna måste ha kunskap om de hot, sårbarheter och risker mot säkerheten i systemen som finns.
Sårbarhet genom kritiska beroenden
Kritiska beroenden uppstår när funktionen i en samhällsviktig verk- samhet kräver att en annan verksamhet fungerar och där det saknas alternativ. Sådana beroendeförhållanden är en orsak till att samhälls- viktiga verksamheter är sårbara Flera av dessa viktiga funktioner styrs och övervakas med stöd av avancerade nätverks- och informa- tionssystem. När ett cyberangrepp eller tekniskt fel inträffar kan det påverka flera delar av samhället samtidigt och konsekvenserna kan i vissa fall bli svåra att överblicka. Ett exempel på ett sådant förhål- lande är beroendet mellan elförsörjning och elektroniska kommunika- tioner. Det uppkopplade samhället är nämligen beroende av funge- rande elförsörjning och elektroniska kommunikationer.
Att allt fler verksamhetsutövare digitaliserar hela eller delar av sin verksamhet innebär ökade krav på tillgänglighet av el och fungerande uppkoppling. En följd av digitalisering och effektivisering är att även förmågan att leverera el och upprätthålla kommunikationer är digi- taliserad, och är därmed sårbar för samma svagheter och utsatt för liknande risker som övrig digitaliserad verksamhet. I de fall styr- och kontrollsystem är exponerade mot internet uppkommer risken för att hotaktörer att utnyttja sårbarheter i systemen för cyberangrepp med betydande konsekvenser för samhället som följd. Förutom de omedelbara konsekvenserna med omfattande strömavbrott så skulle många system som är beroende av fungerande informationstekno- logi upphöra att fungera. Det skulle i dag leda till betydande problem på flera nivåer i samhället. Denna utveckling förstärks i och med det ökade utbudet av IoT. Det skapar stora vinster, men som en följd av detta ökar beroendet av el, och i viss mån ökar de sårbarheter som kommer ur det stora elberoendet.
Den internationella dimensionen får samtidigt en alltmer ökad betydelse. Infrastrukturen är i dag sammanflätad och korsar nations- gränser och många privata företag som driver och äger infrastruktu- ren är verksamma i flera länder. Störningar i informationssystem kan därför snabbt röra sig mellan nationell och internationell nivå. En annan sårbarhet i samhället är därför koncentrationen av ett begrän-
113
Utvecklingen av hot, sårbarheter och risker |
SOU 2021:63 |
sat antal stora leverantörer som skapar nya sårbarheter i samhället. Vissa verksamheter tillhandahåller så väsentliga tjänster att när deras funktionalitet upphör eller kraftigt reduceras hotas möjligheten att värna samhällets grundläggande värden.
Digitaliseringen och teknikutvecklingen innebär även ändrade förutsättningar för säkerhetsskyddet och informations- och cyber- säkerheten. Efter att regleringen av säkerhetsskydd trädde i kraft har informationstekniken och användningen av den genomgått en bety- dande utveckling. Den tekniska utvecklingen och informationstek- niken påverkar i stort sett alla aspekter av säkerhetskänsliga och sam- hällsviktiga verksamheter.
I dag hanteras stora informationsmängder i såväl öppna som hem- liga nätverks- och informationssystem. Den ökade öppenheten med- för t.ex. större risk för att aktörer med antagonistiska avsikter ut- nyttjar de möjligheter som den brett åtkomliga informationen ger för hot och angrepp. Även tillgången till och öppenheten kring stora mängder av information på t.ex. myndigheters webbplatser kan ge användaren nya möjligheter att söka och sammanställa information på ett sätt som kan få konsekvenser för säkerhetsskyddet. Lagring av stora mängder uppgifter i digitala system har ökat kraftigt och fortsätter öka i takt med ökade tekniska möjligheter och ökade ambi- tioner i samhället. Sammanställningar över t.ex. känsliga anläggningar och objekt kan snabbt och enkelt tas fram genom effektiva sök- motorer. Effekten av detta kan bli att uppgifter, som var för sig inte är skyddsvärda, i aggregerad form kan komma att utgöra en stor sårbarhet. Skyddet av de egna informationstillgångarna, bl.a. nätverks- och informationssystemen, blir därför en grundläggande fråga för samhället i stort men även för många olika aktörer inom samhälls- viktiga och säkerhetskänsliga verksamheter. Det är av även grund- läggande betydelse att infrastrukturen med väl fungerande elektroniska kommunikationer är säker, tillgänglig och robust (se kapitel 4).
Som framgår av kapitel 4 är en av de stora utmaningarna som finns på informations- och cybersäkerhetsområdet att tekniken ofta ut- vecklas betydligt snabbare än säkerhetsarbetet. Den snabba tekniska utvecklingen på
114
SOU 2021:63 |
Utvecklingen av hot, sårbarheter och risker |
och informationssystem ger nya förutsättningar och möjligheter för olika aktörer att genom olika
5.3Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden 2020
I den myndighetsgemensamma rapporten Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden 2020 redogör Säkerhetspolisen, Försvarsmakten, Försvarets radioanstalt (FRA) och Myndigheten för samhällsskydd och beredskap (MSB) för den aktuella hotbilden.3 Myndigheterna konstaterar att metoder och verktyg för cyberangrepp utvecklas ständigt och hotaktörernas agerande förändras i takt med teknikutvecklingen. Bland de svenska mål som utsätts för cyberangrepp finns verksamheter som är väsentliga för samhällets grundläggande funktioner. Att kunna skydda sig mot cyberangrepp från kvalifice- rade hotaktörer är därför en nationell angelägenhet.
Statliga aktörer
Av rapporten framkommer att ett stort antal stater bedöms ha för- måga att genomföra cyberangrepp och statliga aktörer använder cyberangrepp för att uppfylla olika nationella intressen. I de flesta länder är aktörerna nationella underrättelse- och säkerhetstjänster eller grupperingar som har kopplingar till dessa. Vissa statliga aktö- rer är mycket kvalificerade och genomför cyberangrepp på ett sätt som är storskaligt, systematiskt, uthålligt och globalt för att tillgodose
3Regeringen har uppdragit åt FRA, Försvarsmakten, MSB och Säkerhetspolisen att tillsam- mans vidta förberedande åtgärder och lämna förslag för att ett nationellt cybersäkerhetscenter ska kunna inrättas under 2020. Parallellt med detta sker en fördjupad myndighetssamverkan som syftar till att främja denna uppgift. Som en del i detta har myndigheterna tillsammans med Polismyndigheten gemensamt tagit fram denna rapport. Syftet är att tillsammans – utifrån de lägesuppfattningar som respektive myndighet har – sammanställa en lägesbild som på ett enkelt och tillgängligt sätt beskriver cybersäkerhet ur ett nationellt perspektiv.
115
Utvecklingen av hot, sårbarheter och risker |
SOU 2021:63 |
det egna landets intressen.4 Cyberangrepp erbjuder även goda möjlig- heter till anonymitet, förnekbarhet och vilseledning för den bakom- liggande aktören jämfört med mer traditionella metoder. Detta öpp- nar upp för nya möjligheter att agera utan att hamna i öppna konflikter med andra länder. Myndigheterna konstaterar att cyberangrepp från statliga aktörer mot svenska mål sker hela tiden. Aktörerna utvecklar metodik och verktyg och blir allt mer sofistikerade. Samtidigt fort- sätter de att använda sig av äldre kända metoder så länge dessa fort- satt ger resultat. Även cyberangrepp från statliga aktörer i syfte att inhämta underrättelser pågår ständigt mot svenska mål. De angriper bl.a. verksamheter som hanterar känslig eller skyddsvärd informa- tion som rör Sveriges säkerhet, men även öppen information kan vara av intresse. Det förekommer att cyberangrepp genomförs för att påverka skeenden i Sverige eller utomlands. Allt ifrån stulen in- formation som används för att misskreditera makthavare och splittra landet, till angrepp som syftar till att slå ut infrastruktur, skada tilli- ten till institutioner, eller på annat sätt framtvinga eller förhindra att en stat agerar. Statliga aktörer genomför även angrepp för att få åt- komst till individers personliga information. Angreppen sker exem- pelvis i syfte att få fram känsliga uppgifter som kan användas i ut- pressningssyfte mot personer i maktposition eller personer som har tillgång till information som aktören vill åt. Det sker även i syfte att bedriva flyktingspionage för att kontrollera oppositionella eller tysta opinioner utomlands. För att komma åt information om individer kan verksamheter som hanterar stora mängder av denna typ av upp- gifter angripas. Angrepp sker även direkt mot individers personliga
Militär förmåga
Statliga aktörer studerar – som förberedelse för att använda cyber- angrepp i konflikter – sårbarheter som kan utnyttjas och utvecklar därefter verktyg som behövs för att genomföra cyberoperationer. Sårbarheterna utnyttjas för att ta sig in i system och infektera dessa
4Det kan handla om att ge det egna landet utrikes- och säkerhetspolitiska fördelar, gynna det egna landets forskning och utveckling och skapa konkurrensfördelar för inhemska företag, eller skaffa fram underlag för att utföra påverkansoperationer. Det kan även handla om för- beredande angrepp som genomförs i syfte att skapa förutsättningar att vid ett senare tillfälle kunna genomföra operationer vars syfte exempelvis kan vara att orsaka skada för den verk- samhet som utsätts.
116
SOU 2021:63 |
Utvecklingen av hot, sårbarheter och risker |
för att kunna slå ut systemet i det fall en konflikt uppstår. Attackerna förbereds i fredstid och kan sedan koordineras med konventionella stridsmedel om det gynnar operationen. Stater kan även genomföra angrepp som stör eller avbryter försvarsrelaterade eller samhälls- viktiga funktioner i syfte att minska ett lands förmåga att stå emot ett kommande militärt angrepp eller försvaga ett lands motstånds- kraft mot påtryckningar. I konflikter mellan stater är cyberoperatio- ner ett av de medel som kan användas för att minska ett lands för- svarsvilja, bl.a. genom påverkansoperationer där information som stjäls genom cyberangrepp sedan kan manipuleras och publiceras för att påverka opinionen.5
I rapporten konstateras att många länder utvecklar förmåga att genomföra avancerade cyberoperationer, bl.a. i form av offensiva cyber- angrepp. Statliga aktörer bedriver även underrättelseinhämtning mot svenska myndigheter och försvarsindustri, bl.a. söker man informa- tion genom cyberangrepp, i syfte att kartlägga Sveriges förmåga och sårbarheter med koppling till Sveriges försvarsförmåga. Den tekniska utvecklingen är hög och det upptäcks kontinuerligt nya sårbarheter, varför det pågår en ständig kapplöpning mellan medel och motmedel. Det krävs därför ett konstant utvecklingsarbete för att upprätthålla en förmåga till avancerade cyberoperationer.
Ekonomiska intressen
Kunskap och innovationer är stöldbegärliga för de stater som vill ta genvägar i sin egen teknikutveckling. Genom cyberangrepp och in- dustrispionage uppvägs brister i det egna landets innovationsför- måga. Av rapporten framkommer även att vissa stater bedriver om- fattande program som syftar till att stjäla företagshemligheter från andra länder. Cyberangrepp i syfte att genomföra industrispionage mot svenska mål är vanligt förekommande och innebär att svenska företag som utvecklar ny teknik kan komma att konkurreras ut av sina egna lösningar som stulits av statliga aktörer. Det finns även exempel där statliga aktörer har använt cyberangrepp för att skaffa
5Genom att välja vilka mål hotaktören inriktar sig mot och hur stor effekt som ska uppnås, finns möjlighet för en statlig aktör att operera i ett tillstånd av fred där krigets lagar inte är tillämpliga. Problematiken kring attribuering och förnekbarhet stärker denna möjlighet. I det fall ett cyberangrepp orsakar skada på samma sätt som ett konventionellt väpnat angrepp kan det under vissa förutsättningar vara att betrakta som ett väpnat angrepp.
117
Utvecklingen av hot, sårbarheter och risker |
SOU 2021:63 |
sig monetära tillgångar, exempelvis genom att angripa banker för att stjäla pengar, kryptovaluta eller genom att angripa verksamheter och infektera dem med utpressningstrojaner (ransomware) för ekono- misk utpressning. I tider av sanktioner kan stater sättas under stor ekonomisk press och då kan cyberangrepp för att stjäla pengar vara en lösning för landets överlevnad.
Ideologiskt motiverade aktörer
I rapporten konstateras att det finns ideologiskt motiverade aktörer som betraktar angrepp mot svenska mål som legitima, även om för- mågan inte motsvarar vilja och ambition att genomföra sådana an- grepp. Försök till cyberangrepp med enklare metoder och tekniska medel bedöms dock fortsätta, t.ex. genom distribuerade överbelast- ningsattacker (DDoS) och kapade hemsidor.
Kriminella aktörer
I rapporten konstateras att cyberkriminalitet är en internationell och gräns- överskridande verksamhet som genomförs där det finns möj- ligheter till ekonomisk vinning. Vilket mål aktören väljer är vanligen inte intressant, utan det viktigaste är den vinst man kan räkna med. Ransomware, bedrägerier, stölder och liknande kriminella aktiviteter drabbar såväl företag som myndigheter och deras leverantörer, ofta verksamheter med höga skyddsvärden.
I rapporten konstateras att en tillbakablick på inträffade händel- ser visar att hotaktörer har en tendens att använda de verktyg som fungerar för stunden. I stället för att använda nya och avancerade metoder väljer de att förfina existerande metoder och det blir allt svårare för användare att upptäcka förfalskningar och bedrägerier.
118
SOU 2021:63 |
Utvecklingen av hot, sårbarheter och risker |
enskilda individer. Ett skifte är att aktörer flyttat fokus från angrepp direkt mot individer till att i stället angripa mindre
Metoder för initial åtkomst
Ett viktigt steg i ett cyberangrepp är den initiala kontroll angriparen behöver skaffa sig i systemet man vill få åtkomst till. Målsättningen med detta steg är vanligen att angriparen vill få möjlighet att exe- kvera skadlig kod i systemet för att på så sätt exempelvis erhålla möjligheter att påverka systemet i sig eller kunna nå priviligierad information i detsamma. För att dessa metoder ska kunna användas förutsätts att det finns en eller flera sårbarheter som kan utnyttjas av angriparen. I rapporten redogörs för vanliga eller effektiva metoder som används för att få initial kontroll, vilka ofta benämns attack- eller angreppsvektorer. Dessa metoder används ofta vid cyberangrepp men ska inte betraktas som en uttömmande lista, utan en delmängd av de metoder som ofta används av flera typer av aktörer (se även kapitel 6).
I rapporten konstateras vidare att det pågår ständig forskning i jakt på nya och okända sårbarheter, s.k.
5.4Cyberangrepp mot myndigheter
Myndigheten för samhällsskydd och beredskap (MSB) presenterar årligen en sammanställning och analys av de rapporter om allvarliga
119
Utvecklingen av hot, sårbarheter och risker |
SOU 2021:63 |
MSB mottog under 2020 sammanlagt 286 rapporter från 93 myn- digheter. Den vanligaste incidentkategorin var handhavandefel, följt av angrepp, störning i mjukvara eller hårdvara samt störning i drift- miljö. I ungefär hälften av fallen angavs incidenten ha fått begränsade konsekvenser och i ungefär en fjärdedel angavs incidenten ha fått stora konsekvenser.6
Förutom redogörelse för de incidenter som inkommit innehåller rapporten även ett antal lärande exempel på incidenter som inträffat och rekommenderade åtgärder.
En analys av de rapporterade incidenterna visar att:
–
–Andelen rapporterade angrepp har minskat medan andelen inci- denter relaterade till störningar i driftmiljö, mjuk- eller hårdvara eller rena handhavandefel har ökat.
–Komplexa system och miljöer får större konsekvenser.
Baserat på den inkomna rapporteringen bedömer MSB att myndig- heterna bl.a. behöver höja lägstanivån, analysera beroendet till externa leverantörer samt se över sin incidenthantering och incidentrap- portering.
5.5Cyberangrepp mot företag
I rapporten Cyberhoten mot Sverige 2019 – En undersökning om hur 100 större svenska bolag ser på cyberbrott nu och i ett framtidsper- spektiv7 redovisas en helhetsbild över hur 100 större svenska bolag ser på cyberhot i dag och i framtiden. Av rapporten framkommer att när det gäller det egna företaget så väntas allt fler attacker mot den egna verksamheten och att cyberbrottsligheten förväntades öka markant under 2019. Närmare hälften (49 procent) av företagen blev utsatta för en cyberattack under 2018, vilket var i nivå med det föregående årets undersökning (47 procent). 65 procent av företagen räknade
6MSB:s årsrapport Statliga myndigheters
7Cyberhoten mot Sverige 2019 – En undersökning om hur 100 större svenska bolag ser på cyber- brott nu och i ett framtidsperspektiv, PricewaterhouseCoopers (PwC), 2020.
120
SOU 2021:63 |
Utvecklingen av hot, sårbarheter och risker |
med att 2019 skulle bli ett besvärligare år med fler cyberattacker mot den egna organisationen. Vidare ansåg 81 procent av företagen att ny teknik som robotik och automatisering ökar riskerna för cyberattacker. Närmare hälften (48 procent) av företagen ansåg att tredjepartsris- ker, dvs. risker som uppkommer till följd av tekniksamarbeten, sam- arbeten med leverantörer och andra former av samarbeten, ökade under 2018.
Av rapporten framkommer vidare att en majoritet av företagen anser att Sverige är inte tillräckligt rustat för att möta de ökade cyber- hoten. Undersökningen visar tydligt att de ökade hotbilderna när det gäller cyberbrott har en stor påverkan på hela samhället och att det finns en enighet i näringslivet om problemets omfattning.
Enligt rapporten visar resultaten från undersökningen att det åter- står mycket arbete när det gäller prioritering av frågorna om cyber- säkerhet i de svenska storföretagen. Undersökningen visar att få före- tag inser att cybersäkerhet är en verksamhetskritisk fråga med på- verkan på hela företagets existens. T.ex. rapporterar endast 28 procent av informationssäkerhetscheferna (CISO) direkt till verkställande direktören eller styrelse och av dessa är det endast fyra procent som rapporterar till styrelsen. I rapporten framhålls att skillnaden är mar- kant i jämförelse med omvärlden, t.ex. visade den globala undersök- ning Global State of Information Security Survey 2018 att 67 procent av företagens CISO:s rapporterar direkt till vd eller styrelse och 27 procent till styrelsen. Anmärkningsvärt är även att närmare hälf- ten (43 procent) av företagen inte tycker eller inte vet om styrelsen är tillräckligt engagerad i cybersäkerhetsfrågorna. 43 procent av före- tagen tycker inte att eller vet inte om styrelsen är tillräckligt engage- rad i cybersäkerhetsfrågorna.
Av rapporten framkommer även att 83 procent av företagen anser även att det svenska samhället inte är tillräckligt rustat för att klara av de ökade cyberhoten. Många företag anser att det görs för få in- satser från politiskt håll. 76 procent av tillfrågade företag anser att svenska politiker inte tar cybersäkerhet som samhällsutmaning på tillräckligt stort allvar i dagsläget, andelen som ansåg att politikerna tar cybersäkerhet som samhällsutmaning på tillräckligt stort allvar i dagsläget minskade också från 22 procent till 14 procent. Företagen anser vidare att politikerna gör för lite för att möta den här negativa utvecklingen.
121
Utvecklingen av hot, sårbarheter och risker |
SOU 2021:63 |
5.5.1CYBERHOTEN – Så ser hotbilden och attackerna ut mot svenska teknikföretag (2019)
I rapporten CYBERHOTEN – Så ser hotbilden och attackerna ut mot svenska teknikföretag8 framhålls att industrin och företag i Sverige genomgår en omfattande digitalisering. Utvecklingen innebär att ut- rustning och verktyg både kan kopplas upp och kopplas ihop till en rimlig kostnad, samt att data som skapas i olika processer kan fångas upp och användas. Detta ger möjlighet till ökad produktivitet, nya affärsmöjligheter och en ökad miljömässig hållbarhet. Parallellt med dessa möjligheter så har också förväntningarna och kraven ökat från kunder och leverantörer att tjänster ska finnas att tillgå digitalt. Med digitaliseringen kommer samtidigt en ökad sårbarhet som gäller alla företag, oavsett storlek. Digitaliseringen ger upphov till stora risker som måste hanteras. För mindre teknikföretag och underleveran- törer är det tre faktorer som, enligt rapporten, är särskilt utmanande:
–frekvensen, såväl som konsekvensen, av cyberattacker har ökat,
–attackerna har även blivit diversifierade, mer sofistikerade och riktade mot specifika sektorer, samt
–mindre teknikföretag och underleverantörer är numera primära måltavlor.
Hälften av teknikföretagen har angripits det senaste året
I rapporten anges att antalet cyberattacker mot olika företag och myndigheter i Sverige har ökat och uppgår till över 100 000 per år. Angreppen mot företagen sker i olika former. I början av 2020 var över 17 000 datorer infekterade i Sverige, dvs. de var bl.a. angripna av virus eller utgjorde delar av ett botnät. Motsvarande siffra för mobila enheter uppskattas till omkring 400 000. Denna mängd dato- rer och mobiler kan sedan användas för koordinerade attacker mot enskilda företag eller specifika branscher och riskerar då att slå ut exempelvis kritiska produktionssystem. Den mest frekventa formen av angrepp som företagen identifierat sker genom elakartad program- vara som virus och trojaner samt genom att sårbarheter i de digitala systemen utnyttjas för intrång.
8CYBERHOTEN – Så ser hotbilden och attackerna ut mot svenska teknikföretag, Teknikföre- tagen, 2019.
122
SOU 2021:63 |
Utvecklingen av hot, sårbarheter och risker |
Av rapporten framkommer vidare att bland Teknikföretagens medlemmar, dvs. tillverkande företag och industrinära tjänsteföre- tag, uppgav nära hälften att de blev utsatta för cyberangrepp under
Olika aktörer utför olika typer av angrepp
Av rapporten framkommer att sedan ett antal år tillbaka kommer cyberhoten som möter industrin i Sverige i stor utsträckning från främmande makter. Dessa stater utför själva attackerna eller ger direkt stöd åt kriminella grupperingar för riktade intrångsförsök. Sammantaget är det ett femtontal länder som aktivt opererar med sikte på svenska företag. Attackerna kombineras med påverkansope- rationer, traditionella underrättelseaktiviteter och strategiska uppköp, vilket riktas mot bl.a. företag inom elektronik, kommunikations- teknik och industriella produkter. I sammanhanget kan noteras att en del av de företag som är måltavlor, tillhandahåller civila kompo- nenter och produkter, som har dubbla användningsområden. Genom att produkterna även kan användas för militära ändamål är de av sär- skilt intresse för främmande makter.
Angrepp för miljarder och stort mörkertal
Av rapporten framkommer även att på samma sätt som attackerna varierar, på samma sätt skiftar konsekvenserna. För Teknikföreta- gens medlemmar innebar cyberattackerna under 2019 att system blev otillgängliga och att data blev publikt eller att affärshemligheter stulits. Bedömningen var att denna utveckling skulle fortsätta med ökande styrka även under år 2020. Samtidigt kan noteras att företag ogärna offentliggör när de blivit attackerade, varför redovisade uppgifter – enligt rapporten – sannolikt döljer ett stort mörkertal. Dessutom förblir många företag ovetandes om att de överhuvudtaget har blivit utsatta för angrepp.
123
Utvecklingen av hot, sårbarheter och risker |
SOU 2021:63 |
I rapporten anges att en rimlig uppskattning är att de samlade direkta kostnaderna uppgår till cirka 16 miljarder kronor för svenska företag, vilket främst drabbar de forskningsintensiva industriföre- tagen och företag som arbetar med dem, exempelvis underleveran- törer. Även störningar och avbrott som följer av cyberattacker är riskabla och kan bli kostsamma. Under 2019 rapporterades exempel- vis 50 allvarliga och betydande incidenter. Kostnaden för dessa har inte bl.a. uppskattats, men totalt beräknas en nedstängning eller blockering av datatrafiken i Sverige generera en kostnad för sam- hället på omkring 6 miljarder kronor om dagen.
5.5.2Cybersäkerhet – En kartläggning av Sveriges nuläge 2020 och framtidsutsikter för branschen
I studien Cybersäkerhet – En kartläggning av Sveriges nuläge 2020 och framtidsutsikter för branschen9 redovisas bl.a. nuläget och framtids- utsikter för cybersäkerhetsbranschen vad gäller utbildning, företag och kompetens inom området.10 Sammanfattningsvis framkommer av studien att den snabba och omfattande digitaliseringen driver ut- vecklingen av cybersäkerhetsmarknaden framåt. Det finns dock ett stort behov av kompetens på området, både när det gäller utbildningar och när det gäller den interna kompetensen hos anställda på myndig- heter och företag. Cybersäkerhet är dessutom ett brett område som sträcker sig utanför
I studien lyfter respondenterna11 genomgående människan som den största risken när det kommer till cybersäkerhet, liksom brist-
9Kartläggningen utfördes av Unitalent på uppdrag av Linköpings Science Park, Tillväxtverket och Security Link, en centrumbildning vid Linköpings universitet, KTH, Chalmers och FOI.
10Kartläggningen är avgränsad till att undersöka den svenska marknaden för cybersäkerhet. etta görs främst ur ett nationellt perspektiv, i viss mån sker även en internationell utblick. Begreppet cybersäkerhet är i vissa sammanhang synonymt med
11Kartläggningen är baserad på aktuell litteratur, rapporter från myndigheter, medierapporter- ing samt
124
SOU 2021:63 |
Utvecklingen av hot, sårbarheter och risker |
fälliga riskanalyser och bristande, kontinuerligt säkerhetsarbete. Där- till lyfts att utvecklingen av nya tekniker såsom AI och IoT skapar nya möjligheter men också risker. Enligt studien visar kartläggningen på att det finns stora utvecklingsområden och behov av insatser på området.
125
6 Säkerhetskänslig verksamhet
6.1Inledning
I säkerhetsskyddslagen (2018:585) finns bestämmelser om säkerhets- skydd i säkerhetskänslig verksamhet. Säkerhetsskyddsförordningen (2018:658) innehåller kompletterande bestämmelser till säkerhets- skyddslagen.1
I direktiven framhålls att för informationssystem som används i eller har betydelse för säkerhetskänslig verksamhet finns särskilda krav i säkerhetsskyddsförordningen (2018:658). Det rör sig dels om förberedande åtgärder inför driftsättning av sådana informations- system, dels om säkerhetskrav som kontinuerligt ställs på informa- tionssystemen.
Bestämmelserna innebär att det är verksamhetsutövaren som an- svarar för att se till att informationssystemen upprätthåller kraven på informationssäkerhet.
Bestämmelserna innehåller även krav på samråd med Säkerhets- polisen eller Försvarsmakten i vissa fall. Detta gäller för informations- system som kan komma att behandla säkerhetsskyddsklassificerade uppgifter av visst slag och informationssystem där obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig.
Enligt direktiven finns det anledning att överväga om ytterligare krav bör införas för att säkerställa att nätverks- och informationssystem som ska användas i säkerhetskänslig verksamhet uppfyller de krav som behövs för att upprätthålla skyddet av sådana verksamheter.
I detta avsnitt redogörs översiktligt för relevanta bestämmelser om säkerhetsskydd i säkerhetsskyddslagen respektive den anslutande förordningen. I efterföljande kapitel 7 lämnas en närmare redogörelse för det nationella regelsystemet för informationssäkerhet i säkerhets-
1Ord och uttryck som används i förordningen har samma innebörd som i lagen.
127
Säkerhetskänslig verksamhet |
SOU 2021:63 |
känslig verksamhet, som är det begrepp som används i regleringen för att beskriva åtgärder som syftar till säkerhet i bl.a. nätverks- och infor- mationssystem (informationssystem). I 1 kap. 5 § angivna förordning anges att med informationssystem avses ett system av sammansatt mjuk- och hårdvara som behandlar information.
6.2Säkerhetsskyddslagen
Säkerhetskänslig verksamhet är enligt 1 kap. 1 § säkerhetsskyddslagen (2018:585)2 sådan verksamhet
•som är av betydelse för Sveriges säkerhet, eller
•som omfattas av ett för Sverige förpliktande internationellt åta- gande om säkerhetsskydd.
Säkerhetsskyddslagens bestämmelser gäller för den som till någon del bedriver säkerhetskänslig verksamhet (verksamhetsutövare).
6.2.1Sveriges säkerhet
Säkerhetsskydd har traditionellt uttryckts som olika åtgärder för att skydda totalförsvaret eller rikets säkerhet i övrigt. Uttrycket rikets säkerhet är i säkerhetsskyddslagen numera ersatt av Sveriges säkerhet men liksom tidigare finns ingen tydlig definition angiven i säker- hetsskyddslagen. Uttrycket förekommer dock även i annan lagstift- ning och kan sammanfattas som Sveriges oberoende – i betydelsen självständighet och suveränitet – och bestånd. Detta innefattar rätt till okränkta landsgränser, ett bevarande av det svenska självstyret och det demokratiska statsskicket samt av nationens grundläggande funktionalitet.
Såväl myndigheter som enskilda driver ett stort antal samhälls- viktiga verksamheter som i helhet eller delar kan vara av större eller mindre betydelse. Detta brukar illustreras med en pyramid där den översta delen utgörs av de verksamheterna som är av betydelse för Sveriges säkerhet ur ett nationellt perspektiv (se figuren i avsnitt 3.5).
2I lagen finns också bestämmelser som gäller den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet och om internationell samverkan på säkerhetsskyddsområdet.
128
SOU 2021:63 |
Säkerhetskänslig verksamhet |
Dessa verksamheter har ett kvalificerat skyddsbehov och omfattas av säkerhetsskyddslagen.
Uttrycket ”Sveriges säkerhet” tar sikte på sådant som är av grund- läggande betydelse för Sverige. I detta ingår bland annat det militära och civila försvaret, den nationella ekonomin, de brottsbekämpande myndigheterna, domstolarna och sådana leveranser av exempelvis livsmedel, elkraft, dricksvatten och drivmedel som är nödvändiga för samhällets funktionalitet på nationell nivå. Anläggningar, objekt, system och liknande verksamhet identifieras och graderas utifrån vilken typ och grad av skada som direkt eller uppenbart indirekt kan uppstå för Sveriges yttre säkerhet, för Sveriges inre säkerhet, på nationellt sam- hällsviktig verksamhet och för Sveriges ekonomi. Detsamma gäller för anläggningar och objekt där det bedrivs verksamhet som vid en antagonistisk handling kan generera skadekonsekvenser på nationell nivå på andra säkerhetskänsliga verksamheter (s.k. skadegenererande verksamhet).
Vad som är av betydelse för Sveriges säkerhet kan förändras över tid och i takt med att samhället utvecklas. Ett exempel är hur samhällets funktionalitet de senaste åren blivit mer beroende av datasystem och mobiltelefoni. Av denna anledning är det viktigt att verksamhets- utövare med regelbundenhet uppdaterar sin säkerhetsskyddsanalys (se nedan) och bedriver ett fortlöpande säkerhetsskyddsarbete.
6.2.2Internationellt åtagande om säkerhetsskydd
Med internationellt åtagande om säkerhetsskydd avses att Sverige förbundit sig att skydda något åt en annan stat eller mellanfolklig organisation, t.ex. uppgifter som utbytts inom militära samarbeten eller samarbeten mot terrorism.
6.3Vad som avses med säkerhetsskydd
I 1 kap. 2 § säkerhetsskyddslagen anges att med säkerhetsskydd avses:
•Skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt
•Skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
129
Säkerhetskänslig verksamhet |
SOU 2021:63 |
Säkerhetsskydd behövs för att skydda säkerhetskänsliga verksam- heter mot olika typer av antagonistiska handlingar från hotaktörer med varierande avsikt och förmåga (se kapitel 5).
Säkerhetsskydd som ett system av samverkande åtgärder
Säkerhetsskydd kan övergripande beskrivas som ett system av sam- verkande åtgärder som syftar till att skapa ett heltäckande skydd. Olika verksamhetsutövare har många gånger olika förutsättningar för verksamheten och säkerhetsskyddsåtgärderna måste därför an- passas efter den säkerhetskänsliga verksamhetens förutsättningar. Detta gör säkerhetsskydd till ett många gånger komplext område där olika åtgärder måste fogas samman för att värna Sveriges säkerhet eller det Sverige åtagit sig att skydda åt andra stater och mellan- folkliga organisationer.
Säkerhetsskydd kan beskrivas som ett system av åtgärder som utifrån säkerhetsskyddsanalysen tillsammans skyddar den säkerhets- känsliga verksamheten. Merparten av åtgärderna inom säkerhetsskydd kan sorteras in i någon av de tre säkerhetsskyddsåtgärderna infor- mationssäkerhet, fysisk säkerhet och personalsäkerhet. Andra åtgärder som ingår i systemet av säkerhetsskydd är exempelvis anmälan av säker- hetshotande händelser och säkerhetsskyddsavtal med leverantörer.
En grundförutsättning för ett heltäckande säkerhetsskydd är sam- spelet mellan olika typer av åtgärder som överlappar varandra. Ex- empelvis räcker det inte att enbart skydda ett informationssystem med informationssäkerhet som hindrar intrång via internet. Det krävs även fysisk säkerhet för att förhindra att obehöriga kommer åt datautrustningen samt personalsäkerhet för att förebygga att personer som inte är pålitliga ur säkerhetssynpunkt får arbeta med systemet.
Utöver samspelet måste hela kedjan av åtgärder vara jämnstark så att det inte finns några svaga länkar. Om exempelvis personal reser med säkerhetsskyddsklassificerade uppgifter mellan arbetsplatser måste transporten regleras så den inte utgör en sårbarhet. I annat fall kan en angripare utnyttja detta och slå till på en plats där nivån av säkerhetsskydd är lägre än på arbetsplatserna.
Begreppet säkerhetskänslig verksamhet omfattar således såväl mili- tär som civil verksamhet och är oberoende av om verksamheten be- drivs av det offentliga eller av enskilda aktörer. Inom många verk-
130
SOU 2021:63 |
Säkerhetskänslig verksamhet |
samheter är endast en viss del, tillgång eller funktion av betydelse för Sveriges säkerhet. Verksamhetsutövaren måste då analysera vilka delar som är säkerhetskänsliga så att säkerhetsskyddsåtgärderna inte görs onödigt omfattande men inte heller missar delar som omfattas av säkerhetsskyddslagens krav.
Utgångspunkten är att verksamheten ska ha direkt betydelse för Sveriges säkerhet men även verksamhetsutövare som t.ex. levererar driftstjänster såsom data och telekommunikation, kan anses bedriva verksamhet som är av betydelse för Sveriges säkerhet. Det kan då vara den samlade betydelsen som indirekt aktualiserar behovet av säkerhetsskydd även om de enskilda uppdragen sedda var och en för sig inte är säkerhetskänsliga.
Den som hanterar säkerhetsskyddsklassificerade uppgifter anses redan på den grunden bedriva säkerhetskänslig verksamhet eftersom uppgifterna i sig är av betydelse för Sveriges säkerhet. Detta oavsett om uppgifterna rör den egna verksamheten eller härrör från någon annan verksamhetsutövare, t.ex. vid arkivförvaring av handlingar. Även verksamheter som hanterar allmänt åtkomlig information såsom meteorologiska data och kartor kan vara säkerhetskänsliga. Uppgif- terna kan exempelvis behöva vara tillgängliga för nationell flygtrafik- ledning eller olika former av beredskap för reparationer av nationellt viktig infrastruktur.
De internationella åtagandena om säkerhetsskydd som staten Sverige har åtagit sig omfattar framför allt hantering av uppgifter.
Sverige har förbundit sig att skydda säkerhetsskyddsklassificerade uppgifter för ett trettiotal andra stater och mellanfolkliga organisa- tioner, bl.a. EU och NATO.
Därutöver har Sverige även andra internationella åtaganden gäl- lande exempelvis luftfartsskydd. Verksamheter som omfattas av sådana åtaganden är att anse som säkerhetskänsliga. Det förekommer att myn- digheter vid samarbete med utländska myndigheter självständigt kom- mer överens om olika typer av skyddsåtgärder. Denna typ av egna överenskommelser gör dock inte att verksamheten omfattas av säker- hetsskyddslagen.
Säkerhetsskyddsanalys är grunden för säkerhetsskydd. Själva be- dömningen av om en verksamhet är säkerhetskänslig eller inte har sin grund i verksamhetens säkerhetsskyddsanalys. Efter det initiala
131
Säkerhetskänslig verksamhet |
SOU 2021:63 |
konstaterandet att verksamheten är säkerhetskänslig följer en mer detaljerad analys av på vilket sätt och i vilken utsträckning.3
Skillnaden mellan säkerhetsskydd och andra säkerhetsåtgärder4
Utöver behovet av säkerhetsskydd försöker de flesta verksamheter skydda sig mot olika risker för att inte drabbas av exempelvis pro- duktionsavbrott. I många fall är skyddet inriktat på olyckor, men det kan även i likhet med säkerhetsskydd ta höjd för antagonistiska hand- lingar såsom anlagda bränder eller industrispionage. Säkerhetsskyd- det och andra säkerhetsåtgärder kan mycket väl sammanfalla men det är i så fall viktigt att klargöra vilka perspektiv som är grunden för respektive åtgärd.
Säkerhetsåtgärder som utgår från verksamhetens egna krav och incitament är valfria, medan skyddet av det som faller inom ramen för säkerhetsskydd är tvingande genom lag. Denna skillnad i per- spektiv påverkar det grundläggande arbetet med analyser och efter- följande val av åtgärder och hur omfattande dessa behöver vara. I exempelvis en affärsriskanalys kan den bedömda sannolikheten för olika händelser vägas mot kostnaden för åtgärder och vilka möjliga förluster organisationen är beredd att acceptera.
I en säkerhetsskyddsanalys beaktas inte sannolikheten, utan ut- gångspunkten är i stället de konsekvenser som måste undvikas. Utrym- met att själv välja vad som är en lagom skyddsnivå är begränsat efter- som principen är att skyddet för en säkerhetskänslig verksamhet ska vara detsamma oavsett vem som är verksamhetsutövare.
Säkerhetsskyddets huvudsakliga inriktning att skydda mot anta- gonistiska handlingar gör att säkerhetsåtgärder som renodlat syftar till att minska konsekvenserna av olyckor i regel inte utgör fullgoda säkerhetsskyddsåtgärder. Det finns vissa åtgärder som är förbehållna säkerhetskänslig verksamhet. Merparten av dessa finns inom perso- nalsäkerhetsområdet i form av de registerkontroller som ska utföras innan och under anställning. Med detta perspektiv blir det ännu tyd- ligare hur viktigt det är att hålla isär åtgärder som vidtas med avse- ende på säkerhetsskydd från verksamhetens övriga behov.
3För dessa moment har Säkerhetspolisen gett ut en separat vägledning, Säkerhetsskyddsanalys, där begreppen utvecklas.
41 kap. 2 § säkerhetsskyddslagen.
132
SOU 2021:63 |
Säkerhetskänslig verksamhet |
6.4Konsekvenskategorier
Verksamhetsutövare ska identifiera anläggningar, objekt, system eller liknande verksamhet som har betydelse för Sveriges säkerhet utifrån vilken typ av skada en antagonistisk handling direkt eller uppenbart indirekt skulle kunna medföra. Identifieringen ska göras enligt föl- jande konsekvenskategorier5:
•Skada för Sveriges yttre säkerhet: Sveriges yttre säkerhet kan delas in i förmågan att upprätthålla nationellt försvar (territoriell suve- ränitet) samt Sveriges integritet, oberoende och handlingsfrihet (politisk självständighet). Utöver Försvarsmakten finns andra verksamheter, till exempel vissa myndigheter och enskilda inom försvarsindustrin, som är viktiga för det militära försvarets för- måga att utföra sitt uppdrag inom ramen för totalförsvaret.
•Skada för Sveriges inre säkerhet: Sveriges inre säkerhet rör för- mågan att upprätthålla och säkerställa grundläggande strukturer i form av det demokratiska statsskicket, rättsväsendet och den brotts- bekämpande förmågan på nationell nivå. Säkerhetsskyddet för Sveriges inre säkerhet handlar till stor del om att skydda särskilt kritiska anläggningar, funktioner och informationssystem.
•Skada på nationellt samhällsviktig verksamhet: Verksamheter som rör leveranser, tjänster och funktioner som är nödvändiga för sam- hällets funktionalitet på nationell nivå. Dessa verksamheter finns ofta inom, men är inte begränsat till, sektorerna energiförsörjning, livsmedelsförsörjning, elektroniska kommunikationer, vattenför- sörjning, transporter och finansiella tjänster.
•Skada för Sveriges ekonomi: Verksamheter som är nödvändiga för den nationella betalningsförmågan och där en ekonomisk skada kan få negativa konsekvenser för Sveriges suveränitet, handlings- frihet och oberoende.
•Skadegenererande verksamhet: Verksamheter som, om de utsätts för antagonistisk handling, kan generera direkta eller uppenbara indirekta skadekonsekvenser på andra säkerhetskänsliga verksam- heter på nationell nivå genom påverkan på liv, hälsa och infra- struktur.
52 kap. 2 § Säkerhetspolisens föreskrifter om säkerhetsskydd.
133
Säkerhetskänslig verksamhet |
SOU 2021:63 |
6.4.1Konsekvensnivåer
Säkerhetskänslig verksamhet som identifierats tillhöra en konsekvens- kategori enligt ovan ska därefter graderas utifrån konsekvensnivåer beroende på hur allvarlig skada en antagonistisk handling skulle kunna medföra.6 Till skillnad från konsekvenskategori kan en verksamhet som helhet bara tillhöra en konsekvensnivå. Om verksamheten åter- finns i flera konsekvenskategorier väljs den konsekvensnivå där den potentiella graden av skada för Sveriges säkerhet är som störst.
Indelningen i konsekvensnivåer sker enligt följande:
•Nivå 5: Synnerligen allvarlig skada för Sveriges säkerhet.
•Nivå 4: Allvarlig skada för Sveriges säkerhet.
•Nivå 3: Inte obetydlig skada för Sveriges säkerhet.
•Nivå 2: Ringa skada för Sveriges säkerhet.
•Nivå 1: Inte mätbar eller inte relevant konsekvens med bäring på Sveriges säkerhet.
De verksamheter som bedöms tillhöra konsekvensnivåerna 4 och 5 benämns särskilt säkerhetskänslig verksamhet och omfattas av sär- skilda bestämmelser (se nedan). Verksamheter som vid ett angrepp endast bedöms kunna medföra skada enligt nivå 1 omfattas inte av kraven på säkerhetsskydd.
6.4.2Särskilt säkerhetskänslig verksamhet
Verksamhet som tillhör de ovannämnda konsekvensnivåerna 4 och 5 benämns som särskilt säkerhetskänsliga verksamheter och omfattas av två särskilda krav:7
–rapportering till tillsynsmyndighet,
–dimensionering med hjälp av dimensionerande hotbeskrivning (DHB).
62 kap. 3 § Säkerhetspolisens föreskrifter om säkerhetsskydd.
72 kap. 6 och 8 §§ Säkerhetspolisens föreskrifter om säkerhetsskydd.
134
SOU 2021:63 |
Säkerhetskänslig verksamhet |
Rapportering till tillsynsmyndighet
Verksamhetsutövare som bedriver särskilt säkerhetskänslig verksam- het ska rapportera till respektive tillsynsmyndighet att sådan verksam- het bedrivs. Syftet med rapporteringen är att tillsynsmyndigheterna ska kunna ha en samlad bild över vilka verksamhetsutövare som är verksamma inom respektive tillsynsmyndighets ansvarsområde. Detta så att såväl tillsyn som rådgivning ska kunna prioriteras för de verksamheterna som är av störst betydelse för Sveriges säkerhet. De verksamhetsutövare som står direkt under Säkerhetspolisens till- synsansvar ska rapportera dit.8 De verksamhetsutövare som står direkt under Försvarsmaktens tillsynsansvar ska rapportera dit.
Dimensionerande hotbeskrivningar (DHB)
Säkerhetspolisen tar i samråd med tillsynsmyndigheterna fram dimen- sionerande hotbeskrivningar (DHB) till de verksamhetsutövare som bedriver särskilt säkerhetskänslig verksamhet. En DHB syftar till att ge en långsiktigt hållbar beskrivning av en antagen angripares för- måga, oberoende av om det för stunden föreligger ett konkret hot mot verksamheten. Verksamhetsutövaren ska använda den DHB:n för att dimensionera sitt säkerhetsskydd vilket innebär att DHB i prak- tiken utgör en lägstanivå för vad säkerhetsskyddet ska klara av att skydda mot.9
6.5Grundläggande bestämmelser om säkerhetsskydd
Skyldigheter för den som bedriver säkerhetskänslig verksamhet
I 2 kap. 1 § säkerhetsskyddslagen anges att den som bedriver säker- hetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säker- hetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.
Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verk-
8Se vidare information på Säkerhetspolisens webbplats.
9Närmare beskrivning av DHB finns i Säkerhetspolisens vägledning Säkerhetsskyddsanalys.
135
Säkerhetskänslig verksamhet |
SOU 2021:63 |
samhetens art och omfattning, förekomst av säkerhetsskyddsklassi- ficerade uppgifter och övriga omständigheter.
Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt den angivna lagen. Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför någon skada eller annan olägenhet för andra allmänna eller enskilda intressen.
Säkerhetsskyddsåtgärder
Med säkerhetsskyddsåtgärder avses i den angivna lagen åtgärder som syftar till informationssäkerhet, fysisk säkerhet och personalsäkerhet.
I 2 kap. 2 § samma lag anges att informationssäkerhet ska
1.förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
2.förebygga skadlig inverkan i övrigt på uppgifter och informations- system som gäller säkerhetskänslig verksamhet.
I 3 § anges att fysisk säkerhet ska
1.förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhets- skyddsklassificerade uppgifter eller där säkerhetskänslig verksam- het i övrigt bedrivs, och
2.förebygga skadlig inverkan på sådana områden, byggnader, anlägg- ningar eller objekt som avses i 1.
I 4 § anges att personalsäkerhet ska
1.förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskydds- klassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och
2.säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
136
SOU 2021:63 |
Säkerhetskänslig verksamhet |
Som inledningsvis nämnts kan säkerhetsskydd övergripande be- skrivas som ett system av samverkande åtgärder som syftar till att skapa ett heltäckande skydd. Merparten av åtgärderna inom säker- hetsskydd kan sorteras in i något av de tre huvudområdena infor- mationssäkerhet, fysisk säkerhet och personalsäkerhet vilka här för- klaras översiktligt. Säkerhetsskyddslagen benämner dessa tre områden säkerhetsskyddsåtgärder och för respektive område har Säkerhets- polisen gett ut specifika vägledningar.
6.5.1Informationssäkerhet
Alla verksamheter är beroende av att kunna inhämta, lagra, bearbeta och kommunicera information i olika former. Den tekniska utveck- lingen har på senare år gjort informationssystem till viktiga verktyg i hanteringen, men även pappersdokument används fortfarande. Säker- hetsskyddsåtgärden informationssäkerhet syftar till att skydda infor- mation oavsett form och förekomst, elektronisk såväl som fysisk. Informationssäkerhet ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs.10
Informationssäkerhet ska även förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
I likhet med fysisk säkerhet är informationssäkerhet inte begrän- sat till tekniska åtgärder utan inkluderar även bl.a. rutiner och är beroende av en god personalsäkerhet med relevanta utbildningar. Säker- hetsskyddsklassificerade uppgifter kan förekomma i pappersform som utskrivna dokument, fotografier, ritningar etc. Informations- säkerhet kan då exempelvis innebära att dokumenten förses med anteckning om aktuell säkerhetsskyddsklass och att förvaring sker på ett betryggande sätt i brandskyddade och låsbara skåp. Behovet av samordning mellan olika säkerhetsskyddsåtgärder blir tydligt i detta exempel. Personalen som hanterar dokumenten behöver utbildas i anteckningens innebörd och förvaringsskåpen måste dimensionerats i förhållande till den fysiska säkerheten i övrigt. Rutiner för hanter- ing, delning, kopiering och destruktion är andra exempel på åtgärder.
Hantering av säkerhetsskyddsklassificerade uppgifter sker i dag ofta i informationssystem. De flesta verksamhetsutövare använder
102 kap. 2 § säkerhetsskyddslagen.
137
Säkerhetskänslig verksamhet |
SOU 2021:63 |
Ett informationssystem behöver dock inte innehålla säkerhets- skyddsklassificerade uppgifter för att vara skyddsvärt. Även infor- mationssystem som t.ex. samlar in väderdata till flygledning eller styr- system på kraftverk kan vara viktiga för säkerhetskänslig verksamhet.
I fråga om informationssystem kan informationssäkerhet exem- pelvis bestå av att systemen ska separeras från andra informations- system med logiska funktioner såsom t.ex. brandväggar som hindrar kommunikation eller genom att ha fysiskt avskilda nätverk som inte kan kommunicera med varandra eller internet.
En vanlig åtgärd är att använda kryptografiska funktioner, s.k. signalskydd, då säkerhetsskyddsklassificerade uppgifter överförs mellan informationssystem. Då informationssäkerhet inte bara handlar om skydd mot att uppgifter röjs behöver informationssystemen också skyddas mot olika former av hot som är inriktande på att störa eller förstöra och sådana som är inriktade mot att obehörigen ändra in- formationen. Exempel på sådana säkerhetsskyddsåtgärder kan vara säkerhetskopiering, s.k. backup, för att säkerhetsställa tillgänglighet och digitala signaturer som ett sätt att kontrollera så att uppgifter inte obehörigen ändrats.
I 7 kapitel behandlas närmare begreppen skyddsvärda uppgifter och informationssäkerhet när det gäller regleringen om säkerhetsskydd.
6.5.2Fysisk säkerhet
Fysisk säkerhet ska förebygga obehörigt tillträde till och skadlig in- verkan på områden, byggnader och andra anläggningar eller objekt där säkerhetsskyddsklassificerade uppgifter finns eller där säkerhets- känslig verksamhet bedrivs.11 Fysisk säkerhet är även en viktig för- utsättning för att obehöriga inte på annat sätt ska få insyn i verksam- heten eller ta del av säkerhetsskyddsklassificerade uppgifter.
112 kap. 3 § säkerhetsskyddslagen.
138
SOU 2021:63 |
Säkerhetskänslig verksamhet |
6.5.3Personalsäkerhet
Personalsäkerhet består av två delar, säkerhetsprövning och utbild- ning. Säkerhetsprövning syftar till att förebygga att personer som inte är pålitliga ur säkerhetsynpunkt deltar i säkerhetskänslig verk- samhet eller på annat sätt ges tillgång till säkerhetsskyddsklassifi- cerade uppgifter. Utbildning syftar till att säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhets- skydd för att uppfylla det krav på behörighet och kompetens som deltagandet kräver.12 Säkerhetsprövningen görs för att klargöra om en person kan antas vara lojal mot de intressen som ska skyddas och i övrigt pålitlig ur säkerhetssynpunkt. Viktiga aspekter att utreda är eventuella dubbla lojaliteter, intressekonflikter, bristande säkerhets- medvetandet och andra sårbarheter.
6.5.4Behörighet att delta i säkerhetskänslig verksamhet
I 1 kap. 3 § säkerhetsskyddsförordningen anges att behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhets- känslig verksamhet är, om inte något annat följer av bestämmelser i lag, endast den som
1.har bedömts pålitlig från säkerhetssynpunkt,
2.har tillräckliga kunskaper om säkerhetsskydd, och
3.behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt delta i den säkerhets- känsliga verksamheten.
6.6Särskild säkerhetsskyddsbedömning
Inom säkerhetsskydd förekommer uttrycket särskild säkerhetsskydds- bedömning vid vissa upphandlingar, driftsättning eller ändringar i in- formationssystem och förändringar i hotbild eller verksamhet.13
122 kap. 4 § säkerhetsskyddslagen.
13Se Säkerhetspolisens vägledning Säkerhetsskyddsanalys om metod för särskild säkerhets- skyddsbedömning.
139
Säkerhetskänslig verksamhet |
SOU 2021:63 |
6.6.1Statliga myndigheter vid upphandling
Statliga myndigheter ska vid vissa upphandlingar samråda med Säker- hetspolisen.14 Innan samrådet kan ske ska en särskild säkerhetsskydds- bedömning göras för att identifiera och dokumentera vilka säkerhets- skyddsklassificerade uppgifter eller säkerhetskänsliga informations- system som leverantören kan få del av och som kräver säkerhetsskydd.
6.6.2Inför driftsättning av informationssystem
Verksamhetsutövare, oavsett om det är en myndighet eller enskild, ska innan ett informationssystem som har betydelse för säkerhets- känslig verksamhet tas i drift genomföra och dokumentera en sär- skild säkerhetsskyddsbedömning.15
Genom den särskilda säkerhetsskyddsbedömningen ska verksam- hetsutövaren ta ställning till vilka säkerhetskrav som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses. I vissa fall ska även samråd med Säkerhetspolisen ske.16
6.6.3Vid förändringar av hotbild eller verksamhet
Vid förändringar i hotbilden eller om verksutövaren genomför en förändring som kan antas få betydlig påverkan på verksamheten ska en särskild säkerhetsskyddsbedömning genomföras.17 En förändring av hotbild kan identifieras av såväl tillsynsmyndigheten som verksam- hetsutövaren vid exempelvis säkerhetshotande händelser eller genom omvärldsbevakning. Exempel på förändringarna i verksamheten är upphandlingar, nyetablering, förändringar av säkerhetskänsliga system eller flytt till nya lokaler.
142 kap. 6 § säkerhetsskyddsförordningen.
153 kap. 1 § säkerhetsskyddsförordningen.
16Se avsnitt 6.7.2 om samråd gällande informationssystem samt Säkerhetspolisens Vägledning i säkerhetsskydd – Informationssäkerhet, juni 2019.
172 kap. 12 § Säkerhetspolisens föreskrifter om säkerhetsskydd.
140
SOU 2021:63 |
Säkerhetskänslig verksamhet |
6.7Samråd
Inom säkerhetsskydd finns olika situationer som medför skyldighet att samråda mellan myndigheter, verksamheter och Säkerhetspolisen respektive Försvarsmakten.
6.7.1Upphandling av myndigheter
Statliga myndigheter som avser genomföra en upphandling som inne- bär krav på säkerhetsskyddsavtal ska innan förfarandet inleds sam- råda med Säkerhetspolisen eller Försvarsmakten. Innan samrådet kan ske ska verksamhetsutövaren genomföra en särskild säkerhetsskydds- bedömning. Säkerhetspolisen respektive Försvarsmakten kan inom ramen för samrådet förbjuda myndigheten att genomföra upphand- lingen.
6.7.2Samråd avseende informationssystem
Verksamhetsutövare ska i vissa fall skriftligen samråda med Säker- hetspolisen respektive Försvarsmakten innan ett informationssystem tas i drift eller i väsentliga avseenden förändras.18 Kravet gäller oav- sett om det är en myndighet eller enskild som är verksamhetsutövare.
Samråd ska ske vid driftsättning eller väsentlig förändring av:
–informationssystem som behandlar eller kan komma att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
–andra informationssystem om det vid obehörig åtkomst till systemet kan medföra en skada för Sveriges säkerhet som inte är obetydlig.
6.7.3Samråd och information vid registerkontroll
En tillsynsmyndighet som beslutar om placering i säkerhetsklass eller ansöker om registerkontroll för personal hos en enskild verksam- hetsutövare ska vid behov samråda med verksamhetsutövaren i fråga om säkerhetsprövningsåtgärder.
183 kap. 2 § säkerhetsskyddsförordningen.
141
Säkerhetskänslig verksamhet |
SOU 2021:63 |
Samråd ska ske löpande under hela den tid som deltagandet i den säkerhetskänsliga verksamheten pågår. Det är särskilt viktigt att sam- råd sker i de fall det vid registerkontroll framkommer uppgifter som kan antas ha betydelse för säkerhetsprövning.
6.7.4Samråd avseende ytterligare föreskrifter och undantag
En tillsynsmyndighet som avser meddela föreskrifter som komplet- terar eller ger undantag från bestämmelser i Säkerhetspolisens före- skrifter om säkerhetsskydd ska innan beslut fattas samråda med Säker- hetspolisen.19
Samrådet är en del i att koordinera kravbilden så att en myndighet inte fattar beslut som leder till en obalans i skyddet för Sveriges säker- het. Denna obalans kan uppstå om en säkerhetskänslig verksamhet bedrivs i en sektor men påverkar verksamheten i en annan. Så är exem- pelvis förhållandet i fråga om elförsörjningsverksamhet och elektro- nisk kommunikation som hanteras av Affärsverket Svenska kraftnät respektive Post- och Telestyrelsen (PTS).
6.7.5Samråd vid sänkning av säkerhetsskyddsklass
Om det finns skäl att omklassificera en handling med kvalificerat hem- lig uppgift krävs samråd innan så sker.20 Samråd ska ske med verksam- hetens högsta chef eller motsvarande organ och med den som upp- rättat handlingen.21 Samråd kan även vara lämpligt i fråga om uppgifter i lägre säkerhetsskyddsklass än kvalificerat hemlig men detta är inget krav.22
6.8Säkerhetsskyddsavtal
Av 2 kap. 6 § säkerhetsskyddslagen följer att statliga myndigheter, regioner och kommuner som avser att genomföra en upphandling och ingå ett avtal om bl.a. varor och tjänster ska se till att det i ett säker-
197 kap. 8 § säkerhetsskyddsförordningen och 9 kap. 1 § Säkerhetspolisens föreskrifter om säkerhetsskydd.
203 kap. 8 § Säkerhetspolisens föreskrifter om säkerhetsskydd.
21Anteckning om samrådet ska göras på handlingen.
22Samråd och hantering av säkerhetsskyddsklassificerade handlingar utvecklas ytterligare i Säkerhetspolisens Vägledning i säkerhetsskydd, Informationssäkerhet, 2020.
142
SOU 2021:63 |
Säkerhetskänslig verksamhet |
hetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 2 kap. 1 § ska tillgodoses av leverantören om
–det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
–upphandlingen i övrigt avser eller ger leverantören tillgång till säker- hetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Dessa bestämmelser gäller även för enskilda verksamhetsutövare som ingår avtal om bl.a. varor och tjänster med utomstående leverantörer. Verksamhetsutövaren ska kontrollera att leverantören följer säker- hetsskyddsavtalet.
6.9Roller och ansvar
Då säkerhetsskydd omfattar flera typer av verksamheter hos såväl myndigheter som enskilda finns ett stort antal aktörer med olika roller och ansvar.23 Säkerhetspolisen och Försvarsmakten är som till- synsmyndigheter övergripande ansvariga för att bl.a. utöva tillsyn och meddela föreskrifter. Försvarsmakten ansvarar för den egna myndig- heten, Fortifikationsverket, Försvarshögskolan samt de myndigheter som ligger under Försvarsdepartementets ansvarsområde. Säkerhets- polisen ansvarar för övriga myndigheter samt regioner och kommuner.
Utöver Säkerhetspolisen och Försvarsmakten finns ett antal ytter- ligare tillsynsmyndigheter vilka redogörs för nedan.
Tillsynsmyndigheterna får meddela kompletterande föreskrifter inom sitt respektive ansvarsområde. Därutöver har vissa myndig- heter rätt att meddela föreskrifter inom speciella områden, exempelvis Försvarsmakten om kryptografiska funktioner och Regeringskansliet samt Försvarets materielverk om utfärdande av säkerhetsintyg för personer respektive leverantörer.
237 kap.
143
Säkerhetskänslig verksamhet |
SOU 2021:63 |
6.9.1Säkerhetspolisens roll och uppgifter
Säkerhetspolisen är Sveriges nationella säkerhetstjänst med ansvar för Sveriges inre säkerhet. En av myndighetens uppgifter är enligt 3 § polislagen (1984:387) att fullgöra uppgifter enligt säkerhetsskyddslagen.
Säkerhetspolisen utövar tillsyn av säkerhetsskydd i syfte att kon- trollera att verksamhetsutövare följer lag och annan författning. Vidare har Säkerhetspolisen rätt att meddela föreskrifter inom säkerhets- skyddsområdet och ett uppdrag att lämna råd till Regeringskansliet, Justitiekanslern, riksdagen och dess myndigheter.
När Säkerhetspolisen lämnar råd kan detta t.ex. bestå av utbild- ningar, föreläsningar och tester av säkerhetsskyddsåtgärder. Det är viktigt i sammanhanget poängtera att det alltid är verksamhetsut- övaren som har ansvaret för sina skyddsvärden och de åtgärder som vidtas för att skydda dessa.
Säkerhetspolisen har även en central roll att verka som samråds- myndighet, exempelvis i vissa upphandlingssituationer och vid för- ändring och idrifttagande av informationssystem (se avsnitt 6.7 Samrådsdialoger). Vidare är det Säkerhetspolisen som tar emot an- mälningar vid säkerhetshotande händelser och verksamhet, bl.a. it- incidenter eller om säkerhetsskyddsklassificerade uppgifter kan ha röjts.
Säkerhetspolisen ansvarar även för att utföra registerkontroll vid säkerhetsprövning av de personer vars anställning eller deltagande i säkerhetskänslig verksamhet har placerats i säkerhetsklass.24
6.9.2Försvarsmaktens roll och uppgifter
Försvarsmakten har motsvarande uppgifter och roll som Säkerhets- polisen inom myndighetens eget ansvarsområde.
6.9.3Tillsynsmyndigheternas roll
Utöver de två huvudaktörerna Säkerhetspolisen och Försvarsmakten finns ytterligare ett antal tillsynsmyndigheter som utövar tillsyn över enskilda verksamhetsutövare inom en avgränsad sektor eller ett geo-
24Kontrollen innebär slagning mot bland annat belastningsregistret och misstankeregistret. Registerkontroll beskrivs mer utförligt i Säkerhetspolisens vägledning Personalsäkerhet.
144
SOU 2021:63 |
Säkerhetskänslig verksamhet |
grafiskt område. Följande myndigheter har ansvar för respektive område:
–Affärsverket Svenska kraftnät: elförsörjning.
–Post- och Telestyrelsen (PTS): elektronisk kommunikation och posttjänst.
–Transportstyrelsen: civil flygtrafiktjänst, militär flygtrafiklednings- tjänst och verksamhet som i övrigt är av betydelse för luftfarts- skydd, hamnskydd och sjöfartsskydd.
–Länsstyrelserna: andra enskilda verksamhetsutövare än de som täcks in av ovanstående myndigheters ansvar.
Det bör förtydligas att tillsynsmyndigheterna endast har ansvar för tillsyn av enskilda verksamhetsutövare inkluderat statliga, kommu- nala och regionala bolag.
Säkerhetspolisen utövar tillsyn av tillsynsmyndigheterna samt andra myndigheter som tangerar en sektor, t.ex. Trafikverket och Energi- myndigheten.
Tillsynen får även utövas hos leverantörer som omfattas av ett säkerhetsskyddsavtal och hos enskilda verksamhetsutövare som leve- rantören i sin tur anlitat inom ramen för avtalet.
I det fall en tillsynsmyndighet vid tillsyn upptäcker allvarliga bris- ter som trots tidigare påpekanden inte rättats till ska myndigheten in- formera Säkerhetspolisen och Försvarsmakten.
Undantag från informationsplikten finns gällande vissa verksam- hetsutövare som är leverantörer.25
Säkerhetspolisen och Försvarsmakten kan utöva tillsyn även i de fall en verksamhet sorterar under en tillsynsmyndighets ansvars- område.
Tillsynsmyndigheterna har utöver tillsyn ett ansvar för rådgiv- ning och är den huvudsakliga kontakten för enskilda verksamhetsut- övare vid frågor om säkerhetsskydd och tillämpning av bestämmelser. Det är tillsynsmyndigheterna som beslutar om placering i säker- hetsklass för enskilda verksamhetsutövare.26 Tillsynsmyndigheterna har även rätt att efter samråd med Säkerhetspolisen medge undantag
25Se Säkerhetspolisens vägledning Säkerhetsskyddad upphandling.
26Se Säkerhetspolisens vägledning Personalsäkerhet.
145
Säkerhetskänslig verksamhet |
SOU 2021:63 |
från Säkerhetspolisens föreskrifter om säkerhetsskydd och inom respektive område meddela ytterligare kompletterande föreskrifter.
6.9.4Närmare om verksamhetsutövarens ansvar
Den som bedriver säkerhetskänslig verksamhet har grundläggande skyldigheter att utreda behovet av säkerhetsskydd, planera och vidta säkerhetsskyddsåtgärder samt kontrollera det egna säkerhetsskyd- det.27 Det finns dock ingen förteckning, tillståndsprövningsprocess eller liknande som tydligt pekar ut vilka som bedriver säkerhetskäns- lig verksamhet. Det är i stället, i likhet med vad som gäller inom många andra lagreglerade områden, varje verksamhetsutövares egna ansvar att hålla sig informerad, göra bedömningar och bedriva sin verksam- het enligt de författningar som gäller på säkerhetsskyddsområdet.
Arbetet med säkerhetsskydd behöver inledas med ett aktivt ställ- ningstagande om huruvida en verksamhet till någon del är säkerhets- känslig. I praktiken medför detta att verksamhetsutövare, om svaret inte är uppenbart, behöver genomföra det första steget av processen för säkerhetsskyddsanalys.
Säkerhetsskyddsanalys är grunden för säkerhetsskydd. För den som bedriver säkerhetskänslig verksamhet är ansvaret långtgående. Verksamhetsutövaren ska planera och vidta de säkerhetsskyddsåt- gärder som behövs med hänsyn till verksamhetens art och omfatt- ning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.28
Om säkerhetskänslig verksamhet utkontrakteras sträcker sig an- svaret även utanför den egna organisationen, i och med behovet av att reglera och kontrollera säkerhetsskyddet hos den anlitade leveran- tören. Även om verksamhetsutövarens ansvar är långtgående finns utrymme att utforma och bedriva säkerhetsskyddsarbetet på det sätt som passar den egna organisationen, detta så länge en tillräcklig nivå av säkerhetsskydd uppnås enligt principen att skyddet bör vara det- samma oavsett var, hur och av vem som verksamheten bedrivs.
272 kap. 1 § säkerhetsskyddslagen.
28I Säkerhetspolisens vägledning Säkerhetsskyddsanalys finns ett antal indikatorer att använda som grund för en initial bedömning.
146
SOU 2021:63 |
Säkerhetskänslig verksamhet |
6.10Säkerhetsskyddsregleringen och
Den som bedriver säkerhetskänslig verksamhet behöver ofta förhålla sig till krav även i annan lagstiftning. Detta kan i likhet med behovet av säkerhetsskydd och andra säkerhetsåtgärder (se ovan). Skillnaden mellan säkerhetsskydd och andra säkerhetsåtgärder, innebära såväl utmaningar som möjligheter till synergieffekter. Verksamhetsutövare bör därför på ett eller annat sätt inventera och bedöma vilka lagkrav som ställs på verksamheten för att få en samlad bild och kunna skapa ett effektivt säkerhetsskydd.
Vissa lagkrav kan uppfyllas med samma eller liknande typer av åtgärder som behövs för säkerhetsskydd, exempelvis skydd mot in- trång i informationssystem som hanterar personuppgifter eller skydd mot otillbörligt tillträde i hamnar och på kärnkraftverk. I andra fall finns motstridiga syften som måste uppfyllas, exempelvis krav skydd mot olika former av angrepp samtidigt som viss tillgänglighet måste säkerställas. I vissa fall framgår gränsdragningar och undantag av för- fattning vilket gör det tydligt om ett krav står över ett annat. Ett sådant exempel är de regler som implementerats i svensk rätt till följd av det så kallade
298 § lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster.
147
Säkerhetskänslig verksamhet |
SOU 2021:63 |
exempelvis anmälan av säkerhetshotande händelser så att känslig in- formation om en sårbarhet i informationssystem kommuniceras på ett tillräckligt säkert sätt och till rätt myndighet.
148
7 Informationssäkerhet
7.1Inledning
Informationssäkerhet handlar om att skydda information ur olika aspekter. I och med den ökade digitaliseringen ökar informations- mängderna och olika verksamheter är beroende av fungerande nät- verks- och informationssystem (informationssystem). Information kan inhämtas, lagras, kommuniceras och bearbetas i olika former. En verksamhet har i allmänhet stora mängder information som av olika anledningar kan vara skyddsvärd. Detta innebär att en verksamhets- utövare kan behöva identifiera och skydda den information som är värdefull (skyddsvärd information)1. Det kan uppstå stora negativa konsekvenser för en verksamhet, och i vissa fall även för samhället i stort, om skyddsvärd informationen blir röjd för obehörig, om den obehörigen förändras eller om den inte finns till hands när den be- hövs. Att säkerställa en tillräcklig informationssäkerhet innebär att vidta åtgärder för att skydda informationen så att negativa konse- kvenser inte uppstår. För att få en effektiv och säker informations- hantering är en förutsättning att informationssäkerhetsarbetet bedrivs systematiskt.2 Som framgår av kapitel 6 ska den informationssäker- het som bedrivs inom ramen för säkerhetsskyddarbetet samordnas med det övriga informationssäkerhetsarbetet i verksamheten.
7.2Informationssäkerhet
Begreppet informationssäkerhet infördes i 1996 års lagstiftning om säkerhetsskydd som en ersättning till det tidigare begreppet sekretes- skydd. I dag är termen informationssäkerhet allmänt spridd och accep-
12 kap. 2 § säkerhetsskyddslagen (2018:585).
2På bl.a. webbplatsen www.informationssakerhet.se finns stöd i hur ett systematiskt informa- tionssäkerhetsarbete kan bedrivas.
149
Informationssäkerhet |
SOU 2021:63 |
terad, och den används inom skilda verksamheter där kraven och behoven av skydd skiljer sig åt. Begreppet avser skydd av olika slag av information hos såväl myndigheter som enskilda. Åtgärder som avser informationssäkerhet enligt säkerhetsskyddslagen kan inte sär- skiljas från informationssäkerhet i en vidare bemärkelse. Exempel på detta är skydd mot skadlig kod och användarautentisering som är relevanta åtgärder även för nätverks- och informationssystem (infor- mationssystem) som inte är av betydelse för Sveriges säkerhet.3
7.2.1Informationssäkerhetens beståndsdelar
Informationssäkerhet enligt regleringen om säkerhetsskydd innebär åtgärder av olika slag för att skydda information som är av betydelse för säkerhetskänslig verksamhet. Sådan information förekommer i olika miljöer och verksamheter och hanteras och används på flera olika sätt. Därför måste säkerhetsskyddsåtgärderna anpassas för att passa för dessa skiftande förutsättningar. Uppgifternas form saknar i sammanhanget betydelse och åtgärderna måste avse såväl elektro- niskt lagrade och kommunicerade uppgifter som uppgifter på papper samt uppgifter som kan läsas ut ur t.ex. bilder eller materiel.
Man kan beskriva informationens livscykel från det att den skapas till det att den upphör eller förstörs och att utifrån denna beskriv- ning identifiera moment som har betydelse för säkerheten. Dessa moment i informationshanteringen kan skyddas genom administra- tiva, fysiska eller tekniska säkerhetsskyddsåtgärder eller genom en kombination av dessa. För att beskriva åtgärdernas karaktär kan de indelas i tre kategorier:4
–administrativ informationssäkerhet,
–
–kommunikationssäkerhet.
3Redogörelsen för Informationssäkerhet i detta kapitel grundas bl.a. på uppgifter som finns i Säkerhetspolisens Vägledning i säkerhetsskydd, Informationssäkerhet, 2020. Motsvarande upp- gifter finns även i Försvarsmaktens Handbok Försvarsmaktens säkerhetstjänst, Informations- säkerhet, H Säk Infosäk 2013.
4Indelningen följer i princip Rådets beslut av den 23 september 2013 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade
150
SOU 2021:63 |
Informationssäkerhet |
Syftet med denna kategorisering är dels att åtgärderna riktar sig mot olika målgrupper, dels att genomförandet av åtgärderna kräver olika typer av kompetens.
Administrativ informationssäkerhet
Till de administrativa informationssäkerhetsåtgärderna hör åtgärder som tar sikte på rutiner, arbetsflöden och arbetsledning. Här kan näm- nas bestämmelser om registrering, distribution, kopiering, kvittering och inventering av handlingar som innehåller säkerhetsskyddsklas- sificerade uppgifter. Ett exempel på en sådan bestämmelse är att hand- lingar som placerats i informationssäkerhetsklass konfidentiell eller högre ska kvitteras av den som tar del av handlingen. En för säkerhets- skyddet central fråga är reglerna om behörighet till säkerhetsskydds- klassificerade uppgifter. Behörighetskriteriet innebär att en person för att vara behörig till hemliga uppgifter ska vara pålitlig från ett säkerhetsperspektiv, ha relevanta kunskaper om säkerhetsskyddet och ha behov av uppgifterna för sin tjänst eller för sitt uppdrag.
151
Informationssäkerhet |
SOU 2021:63 |
Kommunikationssäkerhet
Termen signalskydd används för att beskriva det i huvudsak krypto- grafiska skyddet för information i s.k. signalskyddssystem. Bestäm- melser om signalskydd och kryptografiska funktioner förekommer i dag i flera olika författningar. Försvarsmakten har i uppgift att leda och bedriva militär säkerhetstjänst samt leda och samordna signal- skyddstjänsten. Det innebär arbete med säkra kryptografiska funk- tioner som är avsedda att skydda skyddsvärd information samt även biträda Regeringskansliet i frågor som rör kryptoverksamhet och annan signalskyddsverksamhet. Bestämmelsen om vad säkerhets- skyddslagen ska skydda mot.
Syftet med informationssäkerhet
I säkerhetsskyddslagen anges att säkerhetsskyddsåtgärden informa- tionssäkerhet ska:
1.förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
2.förebygga skadlig inverkan i övrigt på uppgifter och informations- system som gäller säkerhetskänslig verksamhet.
Även om det finns flera olika definitioner av begreppet informations- säkerhet så är tre kriterier vanligen återkommande: konfidentialitet, riktighet och tillgänglighet.
Konfidentialitet
Informationssäkerhet syftar till att förhindra att information röjs för obehöriga.
Riktighet
Informationen som är av betydelse för en verksamhet behöver ofta även skyddas så att den inte kan förändras av obehöriga. I många fall är en behörighetsstyrning som säkerställer att endast behörig person kan förändra informationen en tillräcklig skyddsåtgärd. En annan
152
SOU 2021:63 |
Informationssäkerhet |
säkerhetsskyddsåtgärd för att skydda information där riktigheten är kritisk, kan vara att använda kryptografiska funktioner så som ex- empelvis elektronisk signering.5 Även här handlar det i en säkerhets- skyddskontext om att skydda uppgifter och informationssystem som är av betydelse för en säkerhetskänslig verksamhet mot antago- nistiska hot.
Tillgänglighet
Förutom att säkerställa att information inte röjs för obehöriga, syftar också informationssäkerhetsarbetet till att säkerställa att in- formationen finns tillgänglig när den behövs. I en säkerhetsskydds- kontext handlar det om att säkerställa att skyddet av uppgifter och informationssystem som är av betydelse för säkerhetskänslig verk- samhet skyddas så att en antagonist inte kan göra dessa otillgängliga. En säkerhetsskyddsåtgärd kan inriktas mot att skydda verksamheten, snarare än ett informationssystem, med så kallade kontinuitetsåt- gärder. Sådana åtgärder kan exempelvis vara så enkla som att se till att skyddsvärd information finns utskriven på papper, eller finns till- gänglig i flera informationssystem. Sådana alternativa åtgärder måste dock utformas så att eventuella säkerhetsskyddsklassificerade upp- gifter ges ett erforderligt säkerhetsskydd.6
Standarder till stöd för informationssäkerhet
I syfte att öka informationssäkerheten finns flera etablerade svenska standarder, bl.a.:
–
–
–
–
Standarderna i ISO
54 kap. 22 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd.
62 kap. 19 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd.
153
Informationssäkerhet |
SOU 2021:63 |
tion/International Electrotechnical Commission) där Sverige med- verkar genom SIS, (Swedish Standards Institute). SIS deltar aktivt i det internationella arbetet i såväl ISO/IEC som på europeisk nivå inom
7.2.2Säkerhetsskyddsklassificerade uppgifter
Säkerhetsskyddsklassificerade uppgifter är uppgifter som rör säkerhets- känslig verksamhet och som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle omfattas av sekretess om lagen var tillämplig.7 För verksamheter där offentlighets- och sekre- tesslagen inte är tillämplig behöver verksamhetsutövaren således göra en fiktiv sekretessprövning.
Säkerhetsskyddsklassificerade uppgifter kan också vara uppgifter som omfattas av ett internationellt åtagande om säkerhetsskydd. Sådana avtal har Sverige ingått med ett antal olika länder och mellanfolkliga organisationer. Det kan t.ex. röra sig om
7.2.3Indelning i säkerhetsskyddsklasser
Säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskydds- klasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet.8 Indelningen i säkerhetsskyddsklasser ska göras enligt följande:
•kvalificerat hemlig vid en synnerligen allvarlig skada,
•hemlig vid en allvarlig skada,
•konfidentiell vid en inte obetydlig skada, eller
•begränsat hemlig vid endast ringa skada.
71 kap. 2 § andra stycket säkerhetsskyddslagen (2018:585).
82 kap. 5 § första stycket säkerhetsskyddslagen (2018:585), 3 kap. 7 § säkerhetsskyddsförord- ningen (2018:658) och 2 kap. 2 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhets- skydd.
154
SOU 2021:63 |
Informationssäkerhet |
I förarbetena till den nya säkerhetsskyddslagen ges ingen närmare förklaring till vad som avses med respektive skadenivå. Det är därför ytterst upp till rättstillämpningen att avgöra vad som utgör en skada för Sveriges säkerhet.
Vid indelningen av uppgifter i säkerhetsskyddsklasser bör even- tuella konsekvenser av ett röjande som framstår som helt orimliga inte beaktas. Bedömningen bör ske utifrån vad som är det rimliga scenariot om uppgifterna röjs.9 Att klassificeringen ska ske utifrån den skada som ett röjande kan medföra för Sveriges säkerhet innebär dock att det inte ska beaktas vilken skada det kan medföra om upp- gifterna blir otillgängliga för verksamhetsutövaren eller om de mani- puleras och inte längre kan anses riktiga.
Syftet med indelningen av uppgifter i säkerhetsskyddsklasser är att fastställa en korrekt lägsta skyddsnivå för uppgifterna i respektive säkerhetsskyddsklass.10 En verksamhetsutövare som tar emot en säker- hetsskyddsklassificerad handling av en annan verksamhetsutövare är inte bunden av den tidigare säkerhetsskyddsklassificeringen av upp- gifterna i handlingen, förutom när det gäller uppgifter som omfattas av ett internationellt åtagande om säkerhetsskydd.
Utgångspunkten bör dock ändå vara att den ursprungliga säker- hetsskyddsklassificeringen ska godtas om det inte tillkommit några nya omständigheter sedan indelningen i säkerhetsskyddsklass gjordes. Det är normalt den verksamhetsutövare som upprättat handlingen som har bäst förutsättning att bedöma vilken skada ett röjande skulle medföra för Sveriges säkerhet, särskilt om uppgifterna rör verksam- hetsutövarens egen verksamhet.
7.2.4Uppgifter som omfattas av ett internationellt åtagande om säkerhetsskydd
Säkerhetsskyddsklassificerade uppgifter som omfattas av ett interna- tionellt åtagande om säkerhetsskydd ska delas in i säkerhetsskyddsklass, om de inte redan har klassificerats av en annan stat eller en mellan-
9Enligt samma princip bör man inte heller beakta vad som skulle hända om andra uppgifter skulle röjas vid samma tidpunkt. I annat fall riskerar indelningen i säkerhetsskyddsklasser att leda till att i princip samtliga uppgifter delas in i någon av de högre klasserna, vilket inte är syftet med lagstiftningen.
10Indelningen i säkerhetsskyddsklass är därför inte avgörande vid en prövning av om sekre- tessen hindrar ett utlämnande av en säkerhetsskyddsklassificerad handling.
155
Informationssäkerhet |
SOU 2021:63 |
folklig organisation.11 En befintlig klassificering ska då godtas, om det inte tillkommit några nya omständigheter sedan indelningen i säkerhets- skyddsklass gjordes, och ligga till grund för bestämmande av skydds- nivå.12
I vissa internationella samarbeten förekommer det att en svensk verksamhetsutövare upprättar handlingar som innehåller uppgifter som omfattas av ett internationellt åtagande om säkerhetsskydd. I sådana fall ska uppgifterna delas in i säkerhetsskyddsklass utifrån den skada ett röjande av uppgiften kan medföra för Sveriges förhållande till den andra staten eller den mellanfolkliga organisationen.
7.2.5Aggregerade och ackumulerade uppgifter
Aggregerade uppgifter innebär att olika typer av uppgifter samlas och tillsammans utgör ett nytt skyddsvärde, medan ackumulerade uppgif- ter betyder en ökad volym av samma typ av uppgifter.
Om enskilda uppgifter som saknar säkerhetsskyddsklass eller är indelade i en av säkerhetsskyddsklasserna begränsat hemlig, konfiden- tiell eller hemlig samlas, kan det i vissa fall medföra att en högre säker- hetsskyddsklass ska tillämpas på uppgiftssamlingen. Så är fallet om den aggregerade eller ackumulerade informationen gör att en anta- gonist kan dra andra, nya slutsatser av uppgiftssamlingen än av varje enskild uppgift.13
Av förarbetena till säkerhetsskyddslagen framgår att en klassifi- cering av en samling av uppgifter inte bör göras i större utsträckning och med placering i högre klass än vad som är nödvändigt. Detta för att bl.a. begränsa onödiga administrativa kostnader och onödiga in- grepp i enskildas integritet. Endast i undantagsfall, där det finns ett tydligt samband mellan uppgifterna som gör att skadan av ett röjande skulle bli mer allvarlig, bör det vara aktuellt att höja klassificeringen på en sammanställning av uppgifter.
112 kap. 5 § andra stycket säkerhetsskyddslagen (2018:585).
12Se Säkerhetspolisens vägledning Introduktion till säkerhetsskydd för mer information om in- ternationella åtaganden om säkerhetsskydd och de internationella motsvarigheterna till de svenska säkerhetsskyddsklasserna.
134 kap. 6 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd.
156
SOU 2021:63 |
Informationssäkerhet |
7.3Hantering av säkerhetsskyddsklassificerade uppgifter
Nedan följer en översiktlig sammanställning av hanteringsreglerna för säkerhetsskyddsklassificerade uppgifter i respektive säkerhets- skyddsklass. Dessa utgör minimikrav och en verksamhetsutövare kan komplettera reglerna i interna styrdokument.
7.3.1Anteckning om säkerhetsskyddsklass
En säkerhetsskyddsklassificerad handling ska förses med en anteck- ning om vilken säkerhetsskyddsklass uppgifterna i handlingen har, i syfte att klargöra vilka hanteringsregler som gäller för handlingen.14 Kravet på anteckning gäller både för fysiska och elektroniska säker- hetsskyddsklassificerade handlingar. Om det i samma handling före- kommer uppgifter som är indelade i olika säkerhetsskyddsklasser ska den högsta säkerhetsskyddsklassen anges. Anteckningen bör vara röd och omgärdas av en enkel ram upp till och med säkerhetsskydds- klassen hemlig. För säkerhetsskyddsklassen kvalificerat hemlig bör anteckningen omgärdas av en dubbel ram.15 För elektroniska hand- lingar eller uppgiftsamlingar där formatet inte stödjer en anteckning kan uppgift om säkerhetsskyddsklass i stället anges i filnamnet.
Även enskilda verksamhetsutövare kan behöva hänvisa till tillämp- liga sekretessbestämmelser i offentlighets- och sekretesslagen, detta för att underlätta hanteringen av handlingar som distribueras mellan enskilda och offentliga verksamhetsutövare och för att åstadkomma transparens i säkerhetsskyddsklassificeringen.
Om en säkerhetsskyddsklassificerad handling inte längre ska vara indelad i säkerhetsskyddsklass eller ska delas in i annan säkerhets-
145 kap. 5 § offentlighets- och sekretesslagen (2009:400), 1 § offentlighets- och sekretessför- ordningen (2009:641), 3 kap. 7 § säkerhetsskyddsförordningen (2018:658) och 3 kap.
15Anteckningen bör även innehålla hänvisning till tillämplig sekretessbestämmelse i offentlig- hets- och sekretesslagen, datum då anteckningen gjordes, samt vilken verksamhetsutövare som har gjort anteckningen. På så sätt uppfyller även anteckningen kriterierna för en sekretess- markering. För allmänna handlingar i säkerhetsskyddsklassen kvalificerat hemlig ska det på anteck- ningen även framgå om det är chefen för
157
Informationssäkerhet |
SOU 2021:63 |
skyddsklass än vad som anges på handlingen, ska detta antecknas på handlingen.16
7.3.2Förvaring
En säkerhetsskyddsklassificerad handling ska förvaras i ett förvar- ingsutrymme med säkerhet som motsvarar den skyddsnivå som skydds- dimensioneringen kräver.17
7.3.3Märkning av lagringsmedium
Lagringsmedium för säkerhetsskyddsklassificerade uppgifter i säker- hetskyddsklass konfidentiell eller högre ska märkas med säkerhets- skyddsklass och identifieringsuppgift. Om lagringsmediet är fast mon- terat i annan utrustning ska i stället utrustningen märkas så att det fortfarande framgår att lagringsmediet innehåller säkerhetsskydds- klassificerade uppgifter. Om ett sådant lagringsmedium i efterhand avlägsnas från utrustningen ska lagringsmediet märkas.18 Med den fast- ställda identiteten kan en förteckning över verksamhetsutövarens lag- ringsmedia avseende säkerhetsskyddsklassificerade uppgifter upprättas, utifrån vilken en inventering kan ske.
7.3.4Distribution
Verksamhetsutövaren ska som en del i säkerhetsskyddsarbetet upp- rätta dokumenterade rutiner över hur denne avser att i säkerhetsskydds- klass konfidentiell eller högre distribuera säkerhetsskyddsklassificerade
16Det bör i anteckningen framgå vem som har fattat beslut om att ändra säkerhetsskyddsklass och datum för beslutet. Om handlingen är allmän ska beslutet om att säkerhetskyddsklassen ändrats antecknas i det register där handlingen är diarieförd. För säkerhetsskyddsklassificerade handlingar i säkerhetsskyddsklassen kvalificerat hemlig ska ett sådant beslut föregås av samråd med den som har upprättat handlingen och med verksamhetsutövarens högsta chef eller mot- svarande organ, eller den som sådan chef eller organ bestämmer.
173 kap. 10 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. Se även Säker- hetspolisens Vägledning i säkerhetsskydd – Fysisk säkerhet, 2020, för mer information om för- varing.
183 kap. 13 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. Märkningen med säkerhetsskyddsklass syftar till att uppmärksamma den som hanterar lagringsmediet på att det innehåller säkerhetsskyddsklassificerade uppgifter samt i vilken säkerhetsskyddsklass. Märkning med identifieringsuppgift syftar till att fastställa en specifik identitet för ett lagrings- medium som innehåller säkerhetsskyddsklassificerade uppgifter.
158
SOU 2021:63 |
Informationssäkerhet |
fysiska handlingar och lagringsmedia med säkerhetsskyddsklassifi- cerade elektroniska handlingar.19
För försändelser av säkerhetsskyddsklassificerade handlingar till och från utlandet ska Utrikesdepartementets kurirförbindelse anli- tas, såvida inte handlingen skyddas av kryptografiska funktioner som har godkänts av Försvarsmakten. Tillsynsmyndigheterna får medge undantag från detta krav.
7.3.5Förstöring
Säkerhetsskyddsklassificerade uppgifter ska förstöras på ett sätt som omöjliggör åtkomst och återskapande av uppgifterna. Metoder för förstöring är t.ex. dokumentförstörare eller bränning. Vid använd- ning av dokumentförstörare ska verksamhetsutövaren säkerställa att spånet efter förstöring inte går att utläsa och att det inte går att åter- skapa handlingen.20
Förstöring av en säkerhetsskyddsklassificerad allmän handling i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig ska doku- menteras.
Förstöring av säkerhetsskyddsklassificerade uppgifter kan även utföras av en leverantör. Verksamhetsutövaren behöver då reglera de säkerhetsskyddsåtgärder som leverantören behöver vidta i ett säker- hetsskyddsavtal.
7.4Säkerhetsskyddsanalys
En verksamhetsutövare som utvecklar ett informationssystem som har betydelse för säkerhetskänslig verksamhet är ansvarig för att säkerhetsskyddet kring ett sådant informationssystem utformas så att författningarna avseende säkerhetsskydd efterlevs. Säkerhetsskydds- åtgärden informationssäkerhet ska, utöver att skydda säkerhetsskydds- klassificerade uppgifter, också skydda andra uppgifter samt själva informa- tionssystemen som hanterar uppgifter i en säkerhetskänslig verksamhet. Sådana skyddsåtgärder tar framför allt sikte på att tillgodose behovet
193 kap. 10 § säkerhetsskyddsförordningen (2018:658). 3 kap. 14 och 16 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd.
203 kap. 25 och 26 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd.
159
Informationssäkerhet |
SOU 2021:63 |
av tillgänglighet och riktighet.21 Vilka åtgärder som är motiverade att vidta ska analyseras och bedömas i verksamhetens säkerhetsskydds- analys22 samt i förekommande fall i ett informationssystems särskilda säkerhetsskyddsbedömning.
Verksamhetsutövaren ska vid en särskild säkerhetsskyddsbedöm- ning enligt 3 kap. 1 § säkerhetsskyddsförordningen (2018:658) beakta såväl de enskilda säkerhetsskyddsklassificerade uppgifterna som den totala mängden sådana uppgifter som kan komma att behandlas i in- formationssystemet, dvs. aggregerad och ackumulerad information i systemet.
7.5Särskild säkerhetsskyddsbedömning
7.5.1Allmänt om särskild säkerhetsskyddsbedömning
Av 3 kap. 1 § säkerhetsskyddsförordningen (2018:658) framgår att innan ett informationssystem som har betydelse för säkerhetskäns- lig verksamhet tas i drift ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning ta ställning till vilka säkerhetskrav i syste- met som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses. Den särskilda säkerhetsskyddsbedömningen utgör grunden för det säkerhetsskyddsarbete som ska bedrivas för ett informationssystem av betydelse för säkerhetskänslig verksam- het. Då den särskilda säkerhetsskyddsbedömningen ska klargöra vilka säkerhetskrav som är motiverade för ett sådant informationssystem blir den ett viktigt stöd för verksamhetsutövaren under utvecklings- processen. Säkerhetsskyddsbedömningen ska dokumenteras.
Den särskilda säkerhetsskyddsbedömningen bör kunna ge svar på ett antal frågor:
–hur ska informationssystemet användas och av vem?
–på vilket sätt är informationssystemet av betydelse för säkerhets- känslig verksamhet?
–hur exponeras informationssystemet mot andra informations- system?
–vilka säkerhetskrav gäller för informationssystemet?
212 kap. 2 § säkerhetsskyddslagen (2018:585).
22Se bl.a. Säkerhetspolisens Vägledning i säkerhetsskydd – Säkerhetsskyddsanalys, 2019.
160
SOU 2021:63 |
Informationssäkerhet |
–vilka säkerhetsskyddsåtgärder behöver införas i och kring infor- mationssystemet?
7.5.2Hur ska informationssystemet användas?
En särskild säkerhetsskyddsbedömning för ett informationssystem ska klarlägga vad informationssystemet ska användas till och av vem det ska användas, detta gäller också om informationssystem är avsett att användas i flera verksamheter. I vissa fall sker utveckling av infor- mationssystemet för en specifik verksamhet, men det är inte ovanligt att informationssystem över tid kan komma att användas i andra verksamheter där behovet av säkerhetskyddsåtgärder är annorlunda. Förändringar av säkerhetsskyddsåtgärder som behöver ske i efter- hand kan medföra betydande kostnader och det är därför många gånger en fördel att verksamhetsutövaren har ett långsiktigt perspektiv och vid behov planerar för ett bredare användningsområde.
7.5.3På vilket sätt är informationssystemet av betydelse för säkerhetskänslig verksamhet?
En verksamhetsutövare behöver även klarlägga på vilket sätt informa- tionssystemet har betydelse för säkerhetskänslig verksamhet. I denna bedömning kan olika frågeställningar bli aktuella för att identifiera berörda skyddsvärden:
–ska säkerhetsskyddsklassificerade uppgifter behandlas i systemet?
–vilken skada för Sveriges säkerhet kan uppstå om uppgifterna som informationssystemet behandlar röjs?
–ska informationssystemet behandla uppgifter som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhets- skydd?
–vilken skada för Sveriges säkerhet kan uppstå om uppgifterna som informationssystemet ska behandla görs otillgängliga eller obe- hörigen förändras?
161
Informationssäkerhet |
SOU 2021:63 |
Säkerhetsskyddsklassificering och vad som framgår av verksamhets- utövarens säkerhetsskyddsanalys är viktiga ingångsvärden för be- dömningen.
7.5.4Hur exponeras informationssystemet mot andra informationssystem?
I bedömningen kan verksamhetsutövaren även behöva analysera hur informationssystemet kan komma att exponeras mot och interagera med andra informationssystem. Verksamhetsutövaren kan dokumen- tera detta genom att ta fram en övergripande design som beskriver hur informationssystemet ska kommunicera med andra informations- system och andra logiska samband som finns till informationssystemet.
7.5.5Vilka säkerhetskrav gäller för informationssystemet?
När samtliga skyddsvärden är identifierade och bedömda ska kraven på säkerhet fastställas för skyddet av informationssystemet. Dessa krav framgår främst av bestämmelserna i säkerhetsskyddslagen (2018:585), säkerhetsskyddsförordningen (2018:658) och i Säkerhets- polisens föreskrifter (PMFS 2019:2) om säkerhetsskydd samt För- svarsmaktens föreskrifter om säkerhetsskydd (FFS 2019:2) Fort- sättningsvis refereras i första hand till Säkerhetspolisens föreskrifter om informationssäkerhet i säkerhetskänslig verksamhet. I Försvars- maktens förskrifter finns i allt väsentligt motsvarande bestämmelser om informationssäkerhet och de gäller inom myndighetens tillsyns- område.
Vilka krav som är tillämpliga beror på vilken typ av säkerhets- skyddsklassificerade uppgifter som ska hanteras i informationssyste- met. Om informationssystemet även ska behandla uppgifter som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd måste också de krav som följer av den internationella överenskommelsen identifieras och dokumenteras.
162
SOU 2021:63 |
Informationssäkerhet |
7.5.6Vilka säkerhetsskyddsåtgärder behöver införas i och kring informationssystemet?
När säkerhetskraven är identifierade måste verksamhetsutövaren ana- lysera vilka säkerhetsskyddsåtgärder som är motiverade att vidta i och kring informationssystemet.
De krav på säkerhetsskyddsåtgärder som följer av bestämmel- serna i de angivna författningarna kräver ofta en bredare analys för att fastställa på vilket sätt de ska tillämpas. Det framgår t.ex. inte av bestämmelserna var i ett informationssystem säkerhetskyddsåtgär- derna ska appliceras och hur de ska dimensioneras.
Huvudprincipen är att säkerhetsskyddsåtgärderna ska anpassas utifrån det högsta identifierade skyddsvärdet som informationssyste- met avser att hantera, vilken hotbild som föreligger mot dessa skydds- värden, hur och av vem informationssystemet ska användas samt hur det ska exponeras. Det kan därutöver finnas skäl till att vidta ytter- ligare säkerhetsåtgärder än vad som framgår av författningarna.
När behovet av säkerhetsskyddsåtgärder analyseras bör en utgångs- punkt vara att de utformas så att de kompletterar och överlappar varandra, dvs. säkerhetsskyddsåtgärderna bör byggas i flera lager. För- delen med detta är att även om en säkerhetsskyddsåtgärd visar sig vara otillräcklig, finns flera andra säkerhetsskyddsåtgärder som kan träda in och exempelvis förhindra ett försök till intrång.23
I följande avsnitt redogörs översiktligt för några olika säkerhets- skyddsåtgärder som kan implementeras i ett informationssystem som har betydelse för säkerhetskänslig verksamhet.24
7.6Omvärldsbevakning
7.6.1Allmänt om omvärldsbevakning
En verksamhetsutövare måste förhålla sig till de hot som ett infor- mationssystem kan vara exponerat mot och de sårbarheter som finns i och kring informationssystemet. För att en verksamhetsutövare ska kunna få en uppfattning om nya eller förändrade hot, uppkomst av nya sårbarheter, t.ex. i programvaror som används, behöver verk-
23Inom engelsk facklitteratur brukar denna princip beskrivas som defence in depth.
24Se Säkerhetspolisens Vägledning i säkerhetsskydd, Informationssäkerhet, 2020, och Försvars- maktens Handbok Försvarsmaktens säkerhetstjänst, Informationssäkerhet, H Säk Infosäk, 2013.
163
Informationssäkerhet |
SOU 2021:63 |
samhetsutövaren löpande bevaka händelser i omvärlden som kan påverka säkerheten i verksamhetsutövarens informationssystem.
Bestämmelser om omvärldsbevakning finns i Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. I 4 kap. 2 § anges att verksamhetsutövaren ska kontinuerligt anpassa säkerhetsskyddsåt- gärder i informationssystem för att möta förändringar av hot och sårbarheter. Verksamhetsutövaren ska även fastställa hur detta ska genomföras och vem som ansvarar för att identifiera förändringarna. Denne behöver därför ha förmåga att bedöma hur en sårbarhet, t.ex. i en programvara, kan påverka säkerheten i verksamhetsutövarens informationssystem och därefter ta ställning till om sårbarheten be- höver åtgärdas omgående eller inte.
De stora tillverkarna av programvara publicerar normalt säker- hetsuppdateringar (s.k. säkerhetspatchar) när en sårbarhet i en pro- gramvara blir känd. Tillverkaren har ofta redan gjort någon form av värdering av hur allvarlig sårbarheten är som säkerhetsuppdateringen ska åtgärda, vilket kan ligga till grund för verksamhetsutövarens be- dömning av hur sårbarheten kan påverka verksamhetsutövarens in- formationssystem.
Information om nya attackmetoder och sårbarheter i hård- och mjukvara publiceras löpande i omvärlden och det kan därför vara svårt att manuellt inhämta och distribuera denna typ av information. Som stöd i detta kan en verksamhetsutövare behöva använda ett system som automatiskt hämtar in och distribuerar relevant infor- mation till berörd personal. Oavsett om omvärldsbevakning sker manuellt eller med ett tekniskt stöd är det av vikt att verksamhets- utövaren har en inventarieförteckning för den mjuk- och hårdvara som förekommer i verksamhetsutövarens informationssystem efter- som det annars kan uppstå problem för verksamhetsutövaren att veta vilka sårbarheter som är relevanta att ta ställning till.
7.6.2Kompetens och resursplanering
Om en verksamhetsutövare ska ha förutsättningar att kunna hålla ett informationssystem i drift och upprätthålla säkerheten krävs både resurser och kompetens. Utan en planering för detta riskerar säker- hetsarbetet att åsidosättas. Bestämmelser relaterade till kompetens
164
SOU 2021:63 |
Informationssäkerhet |
och resursplanering återfinns i Säkerhetspolisens föreskrifter om säker- hetsskydd (PMFS 2019:2).
Av bestämmelserna i 2 kap. 16 § PMFS 2019:2 framgår att verk- samhetsutövaren ska säkerställa att det finns resurser och kompeten- ser tillgängliga i den utsträckning som krävs för att upprätthålla säker- hetsskyddet.
Av bestämmelserna i 4 kap. 3 § PMFS 2019:2 framgår att verk- samhetsutövaren ska se till att den som deltar i utveckling, framtag- ning av arkitektur, testning och drift av informationssystem som har betydelse för säkerhetskänslig verksamhet har tillräcklig kompetens avseende informationssäkerhet och sårbarheter i aktuellt informa- tionssystem.
Utveckling av informationssystem eller mjukvara i ett informa- tionssystem kan ske i olika plattformar och baseras på en mängd olika programmeringsspråk. Var och en av dessa
165
Informationssäkerhet |
SOU 2021:63 |
är ytterligare aspekt, varför planeringen för drift och förvaltning bör ske på ett tidigt stadium.
I 8 § anges att verksamhetsutövaren även ska – innan ett informa- tionssystem som har betydelse för säkerhetskänslig verksamhet tas i drift – dokumentera de resurser och kompetenser som krävs för att bibehålla fastställt säkerhetsskydd under informationssystemets för- väntade livstid.
7.7Utveckling av informationssystem
7.7.1Allmänt om utveckling av informationssystem
Att utveckla ett informationssystem som har betydelse för säker- hetskänslig verksamhet kan vara en resurs- och tidskrävande akti- vitet. Det kräver en tydlig kravbild utifrån en särskild säkerhetsskydds- bedömning, men också ett strukturerat arbetssätt och god kompetens om de risker och sårbarheter som kan kopplas till de plattformar i vilket utvecklingen sker.
7.7.2Behovet av process för utveckling av informationssystem
Utveckling av informationssystem som ska användas i säkerhets- känslig verksamhet är en aktivitet som kräver noggrann planering och ett systematiskt arbetssätt. Om verksamhetsutövaren inte tar fram en egen process för utvecklingen, finns vedertagna koncept och pro- cesser för hur utveckling av ett informationssystem kan genomföras. Oavsett vilken metod eller process som används vid utveckling behöver verksamhetsutövaren planera med ett långsiktigt perspektiv för hanteringen av informationssystemet, dvs. från utvecklingen av systemet till avveckling av detsamma (systemets livscykel).25 En sådan process bör bl.a. innefatta:
–planering,
–utveckling,
25Ett exempel på en sådan process utgör Software Development Life Cycle (SDLC), som är en vedertagen term för att beskriva en utvecklingsprocess där säkerhet tas i beaktande genom utvecklingsprocessens alla faser.
166
SOU 2021:63 |
Informationssäkerhet |
–testning,
–implementation,
–drift, och
–avveckling av ett informationssystem.
Oavsett val av modell för utveckling är det viktigt att verksamhets- utövaren säkerställer en integration av säkerhetsarbetet som en natur- lig del av utvecklingsprocessen för att tillvarata säkerhetsskydds- kraven i hela livscykelperspektivet för informationssystemet.
7.7.3Systemdesign och systemutveckling
Allmänt om systemdesign och systemutveckling
Genom att införa olika säkerhetsrelaterade aktiviteter i varje steg under en utvecklingsprocess för ett informationssystem ökar möj- ligheterna att uppnå en ändamålsenlig och kostnadseffektiv säkerhet. För att uppnå en säker systemdesign och systemutveckling behöver ett antal aktiviteter genomföras, t.ex.:
–utbildning av utvecklare i säker systemutveckling (kodning, kod- hantering och ramverk),
–hotmodellering,
–statisk och dynamisk kodanalys.
Verksamhetsutövaren bör även upprätta en separation av utvecklings- miljön från test- och produktionsmiljöerna.26
Hotmodellering
Hotmodellering är en process där potentiella tillvägagångssätt som en hotaktör kan tänkas nyttja för att angripa ett informationssystem identifieras.27 Syftet med hotmodellering är att utifrån en systematisk
264 kap. 4 och 5 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd.
27Organisationen MITRE har tagit fram ett ramverk (ATT&CK framework) som beskriver olika attackmetoder, vilka kända aktörer som använt dessa och hur de kan motverkas eller upptäckas.
167
Informationssäkerhet |
SOU 2021:63 |
analys få en bild av vilka typer av angrepp en verksamhetsutövare kan drabbas av. Vid genomförandet av en hotmodellering identifieras systemets olika komponenter, kommunikationsvägar, flöden av data och potentiella hot samt attacker mot dessa. Detta arbete ska resul- tera i en lista med säkerhetsfunktioner som ska implementeras och potentiella säkerhetsbrister som ska hanteras i den fortsatta utveck- lingen av informationssystemet. En sådan hotmodellering kan t.ex. göras i samband med framtagandet av den särskilda säkerhetsskydds- bedömningen för informationssystemet.
Säker kodning och kodhantering
Vid systemutveckling bör man utveckla arbetssätt som ger god kod- kvalitet och stabil funktionalitet, t.ex. kan det ske i testdriven utveck- ling, där koden kontrolleras löpande för att upptäcka säkerhetsbris- ter. En verksamhetsutövare kan t.ex. använda automatiserad statisk kodanalys för att identifiera enklare säkerhetsbrister i koden. Ut- vecklaren får då information om vilka problem som upptäckts i käll- koden och hur dessa kan åtgärdas. Verksamhetsutövaren kan även genomföra återkommande kodgranskning under hela utvecklings- processen.
Proprietära28 säkerhetslösningar tenderar ofta att bli sårbara. Av denna anledning bör standardiserade och väletablerade produkter, protokoll och algoritmer i den omfattning det är möjligt användas. Vid utveckling av informationssystem bör även standardiserade och välbeprövade programvarubibliotek användas.
Tredjepartsbibliotek används ofta i utvecklingsprojekt för att skynda på utvecklingen, då dessa kan erbjuda en genväg för att uppnå en viss funktionalitet. Dessa bibliotek bör dock granskas innan de inklu- deras i projektet då de kan innehålla sårbarheter. Har biblioteket hunnit användas brett i projektet kan det vara svårt att ta bort eller byta ut biblioteket i efterhand. Det är även viktigt att alla tredjeparts- bibliotek som används i projektet kontinuerligt uppdateras, så att even- tuella säkerhetsuppdateringar som publiceras inkluderas i projektet.
28Proprietär programvara är programvara som har restriktioner, t.ex. satta av ägaren, vad gäller att använda, modifiera eller kopiera.
168
SOU 2021:63 |
Informationssäkerhet |
7.7.4Allmänt om arkitektur
Med begreppet arkitektur i ett informationssystem avses vanligen en detaljerad specifikation över vilka ingående komponenteter ett in- formationssystem ska bestå av och gränssnitten mellan dessa. Kom- ponenter kan exempelvis utgöras av hårdvara, t.ex. infrastrukturkom- ponenter, eller mjukvara i form av applikationer och plattformar. Ett gränssnitt kan t.ex. vara kommunikationsprotokoll eller hur kom- ponenterna ska sammankopplas rent fysiskt.
Med begreppet arkitektur avses även uppbyggnaden inom ett in- formationssystem, exempelvis i fråga hur olika entiteter inom infor- mationssystem tillåts kommunicera med varandra, samt beroenden mellan entiteter.
7.7.5Separation
Allmänt om separation
Ett informationssystem och programvaror och komponenter som ingår i det innehåller i regel både kända och okända sårbarheter som under vissa omständigheter kan nyttjas av en hotaktör. Vilken insats som krävs av en hotaktör för att utnyttja en sådan sårbarhet är till stor del beroende av hur informationssystemet exponeras.
Ett informationssystem som inte kommunicerar med något annat informationssystem har generellt sett en låg grad av exponering gent- emot externa hotaktörer. Ett informationssystem som kommunicerar med ett eller flera andra informationssystem har däremot en högre exponering, vilket också öppnar upp fler möjliga vägar till angrepp.
För att minska exponering av informationssystem som innehåller säkerhetsskyddsklassificerade uppgifter är separation mellan infor- mationssystem en viktig säkerhetsskyddsåtgärd.
Bestämmelser relaterade till separation av informationssystem återfinns i Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhets- skydd.
Av bestämmelserna i 4 kap. 20 § i PMFS 2019:2 framgår att verk- samhetsutövaren ska se till att informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskydds- klassen begränsat hemlig eller konfidentiell, logiskt separeras från infor-
169
Informationssäkerhet |
SOU 2021:63 |
mationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd.
Av 21 § samma föreskrifter framgår att verksamhetsutövaren ska se till att informationssystem som är avsett för att behandla säker- hetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig, fysiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd. Informationssystem som är avsett för att behandla säkerhetsskydds- klassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalifi- cerat hemlig, ska tillåta endast envägskommunikation vid import re- spektive export av data.
Logisk separation
Med logisk separation avses att möjligheten till kommunikation mellan informationssystem förhindras med stöd av mjuk- eller hård- vara. En verksamhetsutövare ska säkerställa att ett informations- system som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig eller konfiden- tiell, logiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd.
Ett informationssystem avsett för att behandla säkerhetsskydds- klassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig eller konfidentiell kan i vissa fall dela infrastrukturkomponenter med ett informationssystem som inte omfattas av säkerhetsskydd. De tekniska lösningar som finns tillgängliga för att dela infrastruktur medför både risker och sårbarheter som en verksamhetsutövare be- höver hantera. Att dela infrastrukturkomponenter mellan sådana in- formationssystem bör därför ske restriktivt.
Vid logisk separation föreligger bl.a. följande risker:
–sårbarheter i tekniken,
–sårbarheter i implementationen av tekniken,
–felaktiga konfigurationer.
Om den virtuella infrastrukturen delas mellan ett informationssystem som behandlar säkerhetsskyddsklassificerade uppgifter och ett infor- mationssystem som inte omfattas av säkerhetsskydd kan en hotaktör
170
SOU 2021:63 |
Informationssäkerhet |
angripa den virtuella infrastrukturen och får åtkomst till det andra informationssystemet med hjälp av en sårbarhet i det ena informa- tionssystemet.
Även om informationssystem avsedda för att behandla säkerhets- skyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hem- lig eller konfidentiell inte ska kommunicera med informationssystem eller nätverk som saknar motsvarande krav på säkerhetsskydd, före- ligger ibland behov av sådan kommunikation. Om sådan kommu- nikation ska kunna realiseras måste verksamhetsutövaren ansöka om undantag. Både Säkerhetspolisen och tillsynsmyndigheterna har möj- lighet att medge undantag från bestämmelserna i Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. Innan en tillsyns- myndighet fattar beslut om undantag ska myndigheten samråda med Säkerhetspolisen.
Fysisk separation
Med fysisk separation avses att ett informationssystem inte har några fysiska sammankopplingar med ett annat informationssystem, om det inte omfattas av motsvarande krav på säkerhetsskydd.
En verksamhetsutövare ska se till att informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säker- hetsskyddsklassen hemlig eller kvalificerat hemlig, fysiskt separeras från informationssystem eller nätverk som inte omfattas av motsva- rande krav på säkerhetsskydd.
7.7.6Import och export av data
Om data ska importeras till informationssystem avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen be- gränsat hemlig eller konfidentiell, från ett informationssystem som inte omfattas av säkerhetsskydd, behöver verksamhetsutövaren tillse att import görs på ett sådant sätt att informationssystemen inte kan kommunicera med varandra. En metod för genomföra sådan import kan vara att importera data via bärbar lagringsmedia.
För informationssystem avsett för att behandla säkerhetsskydds- klassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalifi- cerat hemlig, får import och export av data endast ske via envägskom-
171
Informationssäkerhet |
SOU 2021:63 |
munikation. Med envägskommunikation avses att information enbart kan flöda åt ett håll. Om import och export behöver utföras sam- tidigt ska dessa funktioner, så långt det är möjligt, separeras för att göra det svårt att öppna upp en dubbelriktad kommunikationskanal.
Vid import av data kan verksamhetsutövaren behöva en funktion som kan detektera förekomst av skadlig kod, eller på annat sätt veri- fiera integriteten i data som importeras. Ett tillvägagångsätt kan vara att exekvera data i ett fristående informationssystem, s.k. sandlåda (sand box). Med denna metod kan verksamhetsutövaren kontrollera innehållet och i förkommande fall ”tvätta” filerna eller förhindra filerna från att importeras.
7.7.7Säkerhetszoner och kontrollerad kommunikation
Allmänt
Ett sätt att minska exponeringen av ett informationssystem är att säkerställa att det kommunicerar på ett kontrollerat sätt. Ett infor- mationssystem av betydelse för säkerhetskänslig verksamhet bör där- för utformas enligt principen om kontrollerad kommunikation. Med detta avses att verksamhetsutövaren först fastställer hur och på vilket sätt ett sådant informationssystem får kommunicera. Därefter bör verksamhetsutövaren införa lämpliga säkerhetskyddsåtgärder som säkerhetsställer att informationssystem endast tillåts kommunicera på ett kontrollerat sätt.
Bestämmelser relaterade till kontrollerad kommunikation återfinns i Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. Av bestämmelserna i 4 kap. 19 § framgår att verksamhetsutövaren ska se till att informationssystem som har betydelse för säkerhetskänslig verksamhet kommunicerar på ett kontrollerat sätt med komponen- ter eller delsystem inom samma informationssystem, och kommuni- cerar på ett kontrollerat sätt med informationssystem eller nätverk som inte omfattas av krav på säkerhetsskydd.
172
SOU 2021:63 |
Informationssäkerhet |
7.7.8Säkerhetszoner
Ett teoretiskt koncept som brukar användas för att åskådliggöra olika principer för att minska exponeringen av ett informationssystem är att modellera olika säkerhetszoner. I denna kontext placeras ett in- formationssystem i en säkerhetszon baserat på hur skyddsvärt det är. Säkerhetskyddssåtgärder bör säkerställa att endast tillåten kommu- nikation kan ske från en zon till en nästliggande zon.29 Informations- system som omfattas av motsvarande krav på säkerhetsskydd kan placeras i samma säkerhetszon.
En hotaktör med ett slumpmässigt mål har oftast inte kunskap och resurser som krävs för att få åtkomst till de mest skyddsvärda zonerna. En målinriktad hotaktör med mer kunskap och resurser kan försöka komma åt de mer skyddsvärda informationssystemen. En avancerad hotaktör kan förfoga över stora resurser, vilket kan möj- liggöra kompromettering av det mest skyddsvärda informations- systemen.
Informationssystem kan i vissa fall vara placerade inom samma säkerhetszon och kan kommunicera direkt med varandra och dela infrastrukturkomponenter. Kommunikation mellan dessa bör dock ske på ett kontrollerat sätt, t.ex. med hjälp av brandvägg.
7.7.9Nödvändig kommunikation
För att fastställa vilken kommunikation som ska tillåtas i ett infor- mationssystem och vilka skyddsåtgärder som är lämpliga för att för- hindra otillåten kommunikation kan en verksamhetsutövare genom- föra en hotmodellering.
Kommunicering på ett kontrollerat sätt
Ett informationssystem innehåller flera olika entiteter (användare, funktioner m.m.), som kommunicerar med varandra för att utbyta information. När en entitet tillåts att kommunicera med en annan öpp- nas möjliga vägar till angrepp som kan nyttjas av en hotaktör. Ett annat sätt att beskriva detta är att entiteterna exponerar en angreppsyta.
29Det bör därför exempelvis inte vara möjligt att upprätta kommunikation direkt från zon 4 till zon 2 eller 1, utan att passera mellanliggande zon(er) där data verifieras innan de skickas vidare.
173
Informationssäkerhet |
SOU 2021:63 |
Med begreppet kommunicerar på ett kontrollerat sätt avses att verksamhetsutövaren har gjort ett medvetet ställningstagande kring hur entiteter tillåts kommunicera sinsemellan, samt hur dessa får kom- municera med entiteter i andra informationssystem. Med begreppet avses även att verksamhetsutövaren har infört säkerhetsskyddsåt- gärder som förhindrar kommunikation som inte är tillåten. En viktig princip att beakta för att kunna uppnå kontrollerad kommunikation är att endast nödvändig kommunikation mellan entiteter ska tillåtas, och övrig kommunikation förhindras.
För att minska exponering av angreppsytor bör verksamhetsut- övaren tillse att informationssystem som har betydelse för säker- hetskänslig verksamhet endast kommunicerar på ett kontrollerat sätt med komponenter eller delsystem inom samma informationssystem, samt kommunicerar på ett kontrollerat sätt med informationssystem eller nätverk som inte omfattas av krav på säkerhetsskydd. Åtkomst- kontroll avgör vilka funktioner som får kommunicera med varandra, vilket medför att möjliga vägar till angrepp kraftigt reduceras. Endast specifikt utpekade funktioner bör kunna kommunicera med varandra.
Kommunikation mellan entiteter kan även begränsas genom exem- pelvis VLAN och brandväggar som endast tillåter godkänd kommu- nikation mellan olika nätsegment. Stödjande eller säkerhetsrelaterade funktioner i ett informationssystem, t.ex. administration (manage- ment), loggning eller säkerhetskopiering bör utföras och hanteras i avskilda nätsegment. Syftet med detta är att minska exponering av angreppsytor och begränsa möjligheter för en hotaktör att få åtkomst till känsliga resurser som kan ge administrativa behörigheter eller påverka spårbarheten. Vidare bör kommunikation till sådana nätseg- ment, när så är möjligt, krypteras för att förhindra obehörig insyn och påverkan.
Vid kommunikation av säkerhetsskyddsklassificerade uppgifter över förbindelser utanför verksamhetsutövarens kontroll, krävs krypto- grafiska funktioner som har godkänts av Försvarsmakten.
174
SOU 2021:63 |
Informationssäkerhet |
7.7.10Kryptering
Allmänt om kryptering
Datakommunikation som inte är krypterad kan med enkla medel avlyssnas av någon som har tillgång till kommunikationen. Det- samma gäller för information på lagringsmedia. Kryptering är därför en viktig åtgärd för att skydda information från obehörig åtkomst när den transporteras i ett nätverk, eller när den lagras. Kryptering kan även användas för att skydda information mot förändring genom så kallad elektronisk signering, vilket också kan användas för att be- visa en identitet (autentisering) med exempelvis smarta kort.
Av bestämmelserna i 3 kap. 5 § och 7 kap. 5 § i säkerhetsskyddsför- ordningen (2018:658) framgår att innan säkerhetsskyddsklassificerade uppgifter behandlas i ett informationssystem utanför verksamhets- utövarens kontroll ska denne försäkra sig om att säkerhetsskyddet för uppgifterna i systemet är tillräckligt. Om säkerhetsskyddsklassi- ficerade uppgifter ska kommuniceras till ett informationssystem utan- för verksamhetsutövarens kontroll ska uppgifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.
Bestämmelser om kryptering finns även i Säkerhetspolisens före- skrifter (PMFS 2019:2) om säkerhetsskydd.30
Av bestämmelserna i 4 kap. 22 § i PMFS 2019:2 framgår att verk- samhetsutövaren ska analysera behovet av användning av krypto- grafiska funktioner till skydd för säkerhetsskyddsklassificerade upp- gifter och uppgifter som behöver skyddas från ett riktighetsperspektiv. En verksamhetsutövare behöver analysera behovet av kryptografiska funktioner för data i vila och data under transport och därefter införa de skyddsåtgärder som är motiverade. Med data i vila menas att den lagras på ett lagringsmedium såsom exempelvis en hårddisk eller en mobil enhet. Med data under transport menas att den rör sig mellan olika komponenter i ett datanätverk.
För att kryptering av information ska bli robust krävs en kedja av fungerade åtgärder. I detta ingår bl.a. säker hantering av kryptonyck- lar, skydd av kryptografisk utrustning och teknisk implementation av den kryptografiska funktionaliteten i informationssystemet.
303 kap. 21 § och 4 kap. 22 och 28 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säker- hetsskydd.
175
Informationssäkerhet |
SOU 2021:63 |
Chiffersviter
Chiffersviter används bl.a. vid handskakning i kommunikationsproto- kollet Transport Layer Security (TLS), som är vanligt förekommande för kryptering av datakommunikation. Vid handskakningen för- handlar parterna om vilka algoritmer som ska användas vid kommu- nikationen. I detta sammanhang är det viktigt att handskakningen endast tillåter algoritmer som verksamhetsutövaren har godkänt för ändamålet. Med jämna mellanrum upptäcks sårbarheter i de algorit- mer som används för kryptografi. Att genomföra omvärldsbevak- ning för att inhämta av information om sådana sårbarheter är därför viktigt för att verksamhetsutövaren ska ha möjlighet att byta ut brist- fälliga algoritmer eller implementationer i god tid.
Public Key Infrastructure (PKI)
För att användare och komponenter inom ett informationssystem på ett enkelt sätt ska kunna verifiera identiteter och andra entiteter i informationssystemet kan s.k. Public Key Infrastructure (PKI) an- vändas. PKI innebär att verksamhetsutövaren implementerar en in- frastruktur för certifikat och nyckelhantering, där en eller flera certi- fikatutfärdare31 är utgivare av digitala certifikat. Digitala certifikat knyter en publik nyckel till ett subjekt, t.ex. ett användarnamn, på certifikatet och signeras elektroniskt av certifikatutfärdaren. Förli- tande parter kan sedan verifiera att en motpart har en privat nyckel som står i relation till en publik nyckel och som i sin tur är elek- troniskt signerad av, en av dem, betrodd certifikatutfärdare.
Krypteringsnyckel
Hur krypteringsnycklar skyddas är avgörande för hur säker en funk- tion för kryptering kan anses vara. Att säkerställa att ingen obehörig kan få åtkomst till de nycklar som används vid kryptering, och i före-
31Certificate Authority.
32Hantering av
176
SOU 2021:63 |
Informationssäkerhet |
kommande fall signering, är därför viktigt. En verksamhetsutövare kan behöva reglera nyckelhantering både ur administrativt och tek- niskt perspektiv, t.ex. genom bestämmelser om hur och när krypter- ingsnycklar utfärdas, byts ut och förstörs.
Krypteringsnycklar bör säkerhetskopieras centralt så att dekryp- tering är möjlig även om originalnyckeln har försvunnit.33 Signer- ingsnycklar bör dock inte säkerhetskopieras då det påverkar signer- ingens oavvislighet, d.v.s. att innehavaren av signeringsnyckel kan hävda att någon annan har signerat ett objekt i dennes namn.
Kryptografiska funktioner som godkänts av Försvarsmakten
Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll, ska upp- gifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.
Med begreppet kontroll menas att verksamhetsutövaren ska ha sådan kontroll över den förbindelse som används för att överföra (kommunicera) de säkerhetsskyddsklassificerade uppgifterna, att obe- hörig avlyssning kan sägas vara utesluten.
Om verksamhetsutövaren saknar sådan kontroll ska i stället krypto- grafiska funktioner som har godkänts av Försvarsmakten användas för att skydda de säkerhetsskyddsklassificerade uppgifterna vid över- föring. I praktiken innebär begreppet kontroll att verksamhetsutöva- ren ska besitta både administrativ kontroll över informationssyste- met/datanätet och fysisk kontroll över förbindelsen så att obehörig åtkomst för avlyssning kan förhindras.
Försvarsmakten är den myndighet som får utfärda föreskrifter om kryptografiska funktioner som är avsedda för skydd av säkerhets- känslig verksamhet. Vid behov av kryptografiska funktioner som god- känts av Försvarsmakten kan en verksamhetsutövare i första hand kontakta Myndigheten för samhällsskydd och beredskap (MSB) som har i uppdrag att samordna beställningar av signalskydd.
33S.k. Key Escrow.
177
Informationssäkerhet |
SOU 2021:63 |
7.7.11Identitets- och behörighetshantering
Allmänt
För att säkerställa att endast behöriga får åtkomst till ett informa- tionssystem och spårbarhet till olika händelser är en verksamhets- utövares identitets- och behörighetshantering ett viktigt arbete. Detta arbete innefattar många delar, allt från
Bestämmelser om identitets och behörighetshantering återfinns bland annat i Säkerhetspolisens föreskrifter (PMFS 2019:2) om säker- hetsskydd.
Behörighetsstyrning
Åtkomst inom ett informationssystem baseras som regel på en an- vändare (eller ett användarkonto) till vilket det tilldelas behörigheter som styr vad användaren kommer åt. Med behörighetsstyrning avses främst administrativa åtgärder för att styra och hantera åtkomst till och inom ett informationssystem. De administrativa åtgärderna handlar främst om processer, rutiner och regler som beskriver hur verksamhetsutövarens ska hantera användare och deras behörigheter i ett informationssystem. Viktiga perspektiv att beakta vid behörig- hetsstyrning är tilldelning, förändring och uppföljning av användare och behörigheter.
Huvudprincipen vid behörighetsstyrning för ett informations- system av betydelse för säkerhetskänslig verksamhet är att en använ- dare av ett sådant informationssystem endast tilldelas de behörig- heter som denne behöver för att kunna utföra sina arbetsuppgifter.34 En annan viktig princip att beakta vid behörighetsstyrning är att till- delade behörigheter bör tidsbegränsas.
34Denna princip beskrivs bl.a. i internationella standarder och facklitteratur. I engelsk fack- litteratur används begreppet ”least privileged access” som benämning för denna princip.
178
SOU 2021:63 |
Informationssäkerhet |
Identitetshantering och spårbarhet över tid
En digital identitet kan beskrivas som en representation av en fysisk individ i ett informationssystem. För att en individ ska kunna an- vända ett informationssystem skapas en digital identitet, i de flesta fall i form av ett användarkonto. Ett användarkonto tilldelas i sin tur behörigheter som ger åtkomst till olika resurser i informationssystemet.
Alla utställda identiteter i ett informationssystem som har bety- delse för säkerhetskänslig verksamhet ska vara unika över tid, det vill säga över hela informationssystemets livstid. Anledningen till detta är att identiteten ska kunna knytas till en unik fysisk person under hela informationssystemets livstid, samt att spårbarheten för vad olika individer gjort i informationssystemet ska vara tillförlitlig.
Åtkomst inom ett informationssystem ska vara spårbar till an- tingen individ, system eller resurs. Spårbarheten till individ är viktigt vid brottsutredningar samt för att kunna upptäcka och utreda inci- denter. Det finns dock ofta konton i informationssystem som inte kan kopplas till en fysisk individ, t.ex. tjänstekonton som används främst för att utföra automatiserat bakgrundsarbete i ett informations- system. Även om tjänstekonton inte går att koppla till en fysisk indi- vid är det lika viktigt att dessa identiteter är och förblir unika över tid.
Identiteter kan ställas ut på många sätt och i olika former. När verksamhetsutövare tar fram processer, rutiner och regler inom ramen för sin behörighetsstyrning är det viktigt att säkerställa att:
–användarkonton inte återanvänds under informationssystemets livstid,
–användarkonton aldrig tas bort från ett informationssystem, utan i stället avaktiveras om de inte används,
–det sker kontinuerlig uppföljning av tilldelade användarkonton och deras behörighet.
Det är även viktigt att verksamhetsutövaren har processer som säker- hetsställer att alla identiteter i ett informationssystem har utgivits på ett tillförlitligt sätt.
179
Informationssäkerhet |
SOU 2021:63 |
Behörighetskontrollsystem
En teknisk funktion som styr användarnas åtkomst i ett informa- tionssystem, eller mellan informationssystem, benämns behörighets- kontrollsystem. Ett behörighetskontrollsystem baseras ofta på olika roller som kan tilldelas till användarna. Dessa roller styr användarnas skriv- och läsrättigheter till den information som finns i informa- tionssystemet. För att förenkla hantering samt uppföljning av be- hörigheter hanteras detta många gånger i en central funktion, ofta benämnd centralt behörighetskontrollsystem.
Ett centralt behörighetskontrollsystem kan utgöra ett intressant angreppsmål. Det är därför viktigt att verksamhetsutövaren vidtar adekvata säkerhetsskyddsåtgärder för att förhindra att systemet ut- gör den svagaste kedjan i länken, i fråga om kontrollen av åtkomst till information.
Ett centralt behörighetskontrollsystem ska ges ett säkerhetsskydd som motsvarar det högsta säkerhetsskydd som de anslutna infor- mationssystemen omges av. Vid val av skyddsåtgärder för ett centralt behörighetskontrollsystem blir därför säkerhetsskyddsklassificeringen av informationen i de anslutna informationssystemen ett viktigt in- gångsvärde. Skyddsåtgärderna bör omfatta såväl tekniska som admi- nistrativa säkerhetsåtgärder.
7.7.12Intrångsskydd och intrångsdetektering
Allmänt
Intrångsskydd beskrivs som administrativa eller tekniska åtgärder som vidtas för att skydda informationssystem mot obehörig åtkomst.35 Bestämmelser om intrångsskydd och intrångsdetektering finns i Säker- hetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. I före- skrifterna beskrivs intrångsdetektering som administrativa eller tek- niska åtgärder som vidtas för att detektera intrång eller försök eller förberedelse till intrång i informationssystem.
Av bestämmelserna i 4 kap. 29 § i PMFS 2019:2 framgår att verk- samhetsutövaren ska förse ett informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskydds-
353 kap. 4 § säkerhetsskyddsförordningen (2018:658) och 4 kap.
180
SOU 2021:63 |
Informationssäkerhet |
klassen konfidentiell eller högre och som kommunicerar med andra informationssystem, med funktioner för intrångsskydd och intrångs- detektering.
Av 30 § framgår att verksamhetsutövaren även ska förse ett in- formationssystem som kommunicerar med andra informationssystem och där en incident kan medföra mer än ringa skada för Sveriges säker- het med funktioner för intrångsdetektering och intrångsskydd.
Tekniska hjälpmedel
Intrångsskydd (Intrusion Prevention) har som funktion att stoppa eller blockera oönskade aktiviteter som pågår i ett nätverk eller i ett informationssystem.
Syftet med intrångsdetektering (Intrusion Detection) är att iden- tifiera och göra verksamhetsutövaren uppmärksam på oönskade akti- viteter som pågår i ett nätverk eller i ett informationssystem.
Funktioner för och intrångsskydd och intrångsdetektering kan i praktiken se ut på olika sätt, från nätverksbaserade produkter36 till programvara som installeras i någon del av informationssystemet37. Det är viktigt att de system som avses användas kan analysera de pro- tokoll som används inom systemet samt identifiera angrepp på dessa protokoll eller tjänster. En verksamhetsutövare måste således analy- sera var informationssystemet är exponerat och var sådana säker- hetsfunktioner ska implementeras.
Nätverksbaserade produkter för intrångsdetektering och intrångs- skydd kan dock bli mindre effektiva till följd av den tekniska utveck- lingen, där en stor del av all nätverkstrafik är krypterad och därmed svårare att inspektera. I vissa fall är det möjligt att t.ex. placera server- tjänster bakom en lastbalanserare som handhar kryptering gentemot klienter. Dekryptering av nätverkstrafiken sker då innan denna skickas vidare till servern, vilket möjliggör inspektion av nätverkstrafiken.
Systemnära intrångsskydd och intrångsdetektering kan ge bättre skydds- och detekteringsförmåga än nätverksbaserade motsvarigheter,
36Nätverksbaserade produkter tar oftast sikte på att upptäcka skadliga aktiviteter i nätverks- trafik benämns Network Intrusion Detection System (NIDS). Produkter som även förhindrar skadliga aktiviteter i nätverkstrafik benämns vanligen Network Intrusion Prevention System (NIPS).
37Operativsystemnära mekanismer för detektion eller prevention benämns Host Intrustion Detection System (HIDS) respektive Host Intrusion Prevention System (HIPS). Utöver dessa finns även applikationsnära skydd som är specialiserade på vissa nätverksprotokoll, t.ex. Web Application Firewalls (WAF) för webbaserad kommunikation.
181
Informationssäkerhet |
SOU 2021:63 |
eftersom de ligger närmare systemet där händelsen sker. Det är dock av vikt att även implementera säkerhetsövervakning som kan agera på larm då en hotaktör i de flesta fall kan ta sig runt dessa skydd om tid ges.
7.7.13Granskning vid anskaffning och utveckling
Under arbetet med anskaffning eller utveckling av ett informations- system av betydelse för säkerhetskänslig verksamhet är den särskilda säkerhetsskyddsbedömningen central. Genom denna fastställer verk- samhetsutövaren vilka säkerhetsskyddsåtgärder (säkerhetskrav) i in- formationssystemet som är motiverade utifrån hur informations- systemet ska användas. Den särskilda säkerhetsskyddsbedömningen blir därefter ett stöd för verksamhetsutövaren när säkerhetsskyddet ska utformas och granskas så att dessa krav tillgodoses.
I 4 kap 4 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säker- hetsskydd anges att verksamhetsutövaren ska se till att egenutvecklad programvara i informationssystem som har betydelse för säkerhets- känslig verksamhet granskas för att upptäcka och åtgärda säkerhets- brister och sårbarheter.
I 5 § anges att verksamhetsutövaren ska se till att tredjepartspro- gramvara i informationssystem som har betydelse för säkerhetskäns- lig verksamhet granskas för att upptäcka och åtgärda säkerhetsbrister och sårbarheter, eller att programvaran på annat sätt bedöms vara tillförlitlig från säkerhetsskyddssynpunkt.
7.7.14Drift- och testmiljö
Om ett informationssystem ska implementeras i en befintlig
Förutom att driftmiljön bör vara separerad från testmiljön, bör även testmiljön vara separerad från den
182
SOU 2021:63 |
Informationssäkerhet |
7.8Säkerhetskonfiguration av informationssystem
7.8.1Allmänt om säkerhetskonfiguration
Säkerhetskonfigurering, s.k. härdning, innebär att operativsystem, nät- verkskomponenter, andra komponenter, inbyggda programvaror, data- baser och andra applikationer som ingår i ett informationssystem konfigureras på ett så säkert sätt som möjligt.38 Exempelvis kan åt- komsträttigheterna i systemet och de delar som ingår begränsas, möjliga vägar till angrepp via sårbara funktioner i infrastrukturkom- ponenter och applikationer skäras av och exponering mot andra in- formationssystem eller externa enheter förhindras.
Bestämmelser om säkerhetskonfigurering återfinns i Säkerhets- polisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. Av bestäm- melserna i 4 kap. 23 § i PMFS 2019:2 framgår att verksamhetsutövaren ska för informationssystem som har betydelse för säkerhetskänslig verksamhet tillämpa konfiguration som använder lämpliga säker- hetsfunktioner, stänger av funktioner som inte används och även i övrigt reducerar sårbarheter.
S.k. härdning utgår från principen att det som inte behövs för in- formationssystemets definierade funktion ska vara begränsat avse- ende åtkomst, avstängt eller borttaget ur informationssystemet. I arbe- tet med härdning behövs dock en avvägning av vilka åtgärder som ska vidtas, där man särskilt bör beakta hur informationssystemet ex- poneras samt vilken hotbild verksamhetsutövaren har att förhålla sig till. Härdning bör ske utan att informationssystemets stabilitet på- verkas och därutöver kan användarvänligheten vara en aspekt att beakta. Härdning bör vara en del av en standardkonfiguration och automa- tiseras så långt det är möjligt för att minimera risken för felkon- figurationer.
För att härda ett informationssystem finns det olika rekommen- dationer från både tillverkare och andra aktörer på marknaden. Till- verkarspecifika rekommendationer eller andra allmänt kända och verifierade inställningar bör i första hand användas om sådana finns. Kvaliteten på rekommendationerna kan dock vara svår att bedöma, och varierar från tillverkare till tillverkare.
383 kap. 4 § säkerhetsskyddsförordningen (2018:658) och 4 kap. 23 § Säkerhetspolisens före- skrifter (PMFS 2019:2) om säkerhetsskydd.
183
Informationssäkerhet |
SOU 2021:63 |
Som alternativ till dessa finns olika standarder utgivna av olika oberoende organisationer. Dessa är oftast mer konceptuella och om- fattar de vanligaste delarna i ett informationssystem.
För att säkerställa att en hotaktör inte ska kunna påverka ett in- formationssystem behöver säkerhetsskyddsåtgärderna utformas så att de kompletterar och överlappar varandra. Ett sätt att åstadkomma detta är att säkerhetsskyddsåtgärderna byggs i flera lager.39
7.8.2Skydd mot skadlig kod
Allmänt om skydd mot skadlig kod
Skadlig kod är ett samlingsnamn för olika typer av programvaror som orsakar avsiktlig störning eller skada.40 I begreppet skadlig kod ingår bl.a. virus, maskar, trojaner, exploits och rootkits.
Skydd mot skadlig kod syftar till att skydda informationssystemet mot programkod som är tänkt att användas för att otillbörligt ändra, röja, exfiltrera, förstöra eller avlyssna uppgifter, filer eller program- vara som lagras eller kommuniceras till eller från ett informations- system.
Bestämmelser om skydd mot skadlig kod finns i Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd.41 Av bestämmelserna i 4 kap. 27 § i PMFS 2019:2 framgår att verksamhetsutövaren ska för informationssystem som har betydelse för säkerhetskänslig verksam- het analysera behovet av och i förekommande fall besluta att använda de funktioner för skydd mot skadlig kod som är nödvändiga från säkerhetsskyddssynpunkt.
39Säkerhetsskyddåtgärder att implementera kan t.ex. vara:
–fysisk plombering för att upptäcka eventuell manipulation av hårdvara,
–Secure Boot för verifiering av uppstartsprocess,
–hårddiskkryptering,
–skydd av systemfiler (åtkomstkontroll),
–vitlistning av godkända hårdvaruenheter,
–vitlistning och signering av godkända applikationer,
–användning av lokal brandvägg,
–skydd mot skadlig kod,
–detektering och skydd mot skadliga aktiviteter (intrångsdetektering/intrångsskydd).
40I engelsk facklitteratur används begreppet malicious code eller kortformen malware.
413 kap. 4 § säkerhetsskyddsförordningen (2018:658) och 4 kap. 27 § Säkerhetspolisens före- skrifter (PMFS 2019:2) om säkerhetsskydd.
184
SOU 2021:63 |
Informationssäkerhet |
Tekniska hjälpmedel
En verksamhetsutövare som har ett informationssystem som är av be- tydelse för säkerhetskänslig verksamhet behöver i första hand göra en analys av vilka funktioner för skydd mot skadlig kod som är lämp- liga utifrån hur informationssystemet ska användas. Därefter behö- ver verksamhetsutövaren besluta vilka funktioner som ska användas, och slutligen införa dessa funktioner till skydd av informations- systemet.42
Det vanligaste skyddet mot skadlig kod är antivirusprogramvara, som med hjälp av signaturer söker efter hela eller delar av filer som kan ha ett skadligt beteende. Det är dock enkelt för en hotaktör att skapa nya versioner av skadlig kod som inte upptäcks av antivirus- programvaran då signaturen inte längre matchar. Antivirusprogram- vara kan därför vara ett svagt skydd mot en kvalificerad aktör, men ska ses som ett grundläggande skydd av informationssystem.
Utöver antivirusprogramvaror finns olika säkerhetsprodukter som ytterligare kan stärka skyddet. Initialt bör dock inbyggda funk- tioner användas så långt det är möjligt för att minimera kostnader och komplexitet. Vidare bör rutiner för att kontrollera att skyddet mot skadlig kod är aktivt tas fram och dokumenteras.
7.9Funktionstester och säkerhetsgranskning
7.9.1Allmänt om funktionstester och säkerhetsgranskning
Funktionstester och säkerhetsgranskning syftar till att säkerhetsställa att informationssystemet lever upp till den kravställning som ställs på systemet.43
Funktionstester kan säkerställa att systemet är robust och att in- formationen i systemet är tillgänglig och korrekt. Med säkerhets-
42Effektivt skydd mot skadlig kod kan bestå av:
–programexekveringskontroll (så kallad vitlistning) så att enbart godkända program kan exekveras,
–behörighetsstyrning (begränsning av administratörsrättigheter),
–begränsning av möjlighet att exekvera scriptkod inom olika dokumenttyper såsom exem- pelvis Microsoft Office dokument och
–lokala brandväggar som hindrar skadlig programvara från att sprida sig vidare till andra system,
–funktioner som försvårar att exploatera sårbarheter, exempelvis buffertöverskridning, och
–antivirusprogramvara.
433 kap. 1 och 4 §§ säkerhetsskyddsförordningen (2018:658), 2 kap. 17 § och 4 kap.
185
Informationssäkerhet |
SOU 2021:63 |
granskning utökas detta till att även säkerhetsställa att informations- systemet kan motstå angrepp och andra incidenter som kan utsätta systemet eller informationen för exponering. Dessa tester och gransk- ningar bör genomföras löpande under utvecklingsarbetet för att mini- mera arbetet med rättningar av avvikelser vid driftsättning.
I detta avsnitt beskrivs åtgärder som en verksamhetsutövare bör vidta vid funktionstester och säkerhetsgranskning av ett informations- system som har betydelse för säkerhetskänslig verksamhet.
7.9.2Funktionstester
Bestämmelser om granskning av informationssystem återfinns bl.a. i Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. Av bestämmelserna i 4 kap. 4 § i PMFS 2019:2 framgår att verksam- hetsutövaren ska se till att egenutvecklad programvara i informations- system som har betydelse för säkerhetskänslig verksamhet granskas för att upptäcka och åtgärda säkerhetsbrister och sårbarheter.
Av 5 § följer att verksamhetsutövaren ska se till att tredjeparts- programvara i informationssystem som har betydelse för säkerhets- känslig verksamhet granskas för att upptäcka och åtgärda säkerhets- brister och sårbarheter, eller att programvaran på annat sätt bedöms vara tillförlitlig från säkerhetsskyddssynpunkt.
För att säkerställa att programvaran eller systemet fungerar enligt kravställning bör därför tester utföras för att säkerställa att integritet och tillgänglighet kan garanteras.
Funktionstester kan bestå av t.ex. belastningstester, redundans- tester och verifiering av indata. Funktionsrelaterade tester av ett in- formationssystem benämns ofta acceptanstest. Acceptanstest innebär att informationssystemet testas mot olika fördefinierade testfall som beskriver en händelse och hur informationssystem ska bete sig vid givna parametrar. Under sådana tester är säkerhetsfunktionerna ofta bara en delmängd av flera funktioner som testas.
186
SOU 2021:63 |
Informationssäkerhet |
7.9.3Säkerhetsgranskning
Säkerhetsgranskning kan bestå av:
–granskning av styrning i fråga om rutiner och regelverk,
–teknisk granskning som syftar till att verifiera säkerheten i olika tekniska implementationer i ett informationssystem.
Vid utveckling av egen programvara bör tekniska säkerhetsgransk- ningar genomföras löpande under utvecklingsprocessen för att enklare kunna upptäcka och åtgärda säkerhetsproblem i ett tidigt skede. Verk- samhetsutövaren kan därför behöva ta fram rutiner och metodstöd för ändamålet så att tekniska säkerhetsgranskningar blir en naturlig del av utvecklingsprocessen.
Även om granskning av delkomponenter genomförs under en ut- vecklingsprocess bör en sammantagen säkerhetsgranskning genom- föras, där alla komponenter i informationssystemet testas tillsam- mans. Detta kan lämpligen ske i slutskedet av utvecklingsprocessen, t.ex. genom ett penetrationstest (se nedan).
Efter att upptäckta brister och sårbarheter har åtgärdats kan ytter- ligare en granskning behöva ske för att verifiera att dessa i praktiken är åtgärdade, eller på annat sätt motverkats. Säkerhetsgranskningar bör därutöver även genomföras löpande efter att driftsättning har skett.
Granskning av programvara från tredje part
Vid användning av programvara som inte utvecklats av verksamhets- utövaren (s.k. tredjepartsprogramvara), är det viktigt att verksamhets- utövaren undersöker om denna programvara har oönskad funktiona- litet som negativt kan påverka säkerheten i ett informationssystem där programvaran ska användas. Om det kan antas att tredjeparts- programvara inte granskats av en part som verksamhetsutövaren be- dömer som tillförlitlig, bör verksamhetsutövaren själv genomföra en grundlig säkerhetsgranskning av programvaran innan den implemen- teras i ett informationssystem. Syfte med en sådan grundlig säkerhets- granskning är att upptäcka oönskad funktionalitet samt skydda infor- mationssystemet mot exempelvis dolda kanaler och skadlig kod som kan finnas i tredjepartsprogramvaran. Där det är lämpligt bör även
187
Informationssäkerhet |
SOU 2021:63 |
säkerhetskonfigurationen granskas så att produkten implementeras på ett korrekt sätt.
7.9.4Sårbarhetsskanning
En sårbarhetsskanning är en metod som används för att automatiskt kontrollera att säkerhetsuppdateringar är installerade på en
En sårbarhetsskanning är ofta ett verktyg som används under ett penetrationstest, men kan även automatiseras för regelbunden kon- troll av applikationer och infrastruktur i
7.9.5Penetrationstest
Ett penetrationstest är en metod som används för att säkerställa att it- infrastruktur, system och applikationer kan stå emot ett angrepp genom att använda samma metoder som en hotaktör.
Penetrationstester kan utföras med olika metodik och det finns ett antal standarder att använda som stöd i testningen samt i bedöm- ningen av brister. Ett penetrationstest kan utföras på allt från en hel
44Flertalet sårbarhetsskannrar erbjuder möjlighet att genomföra aggressiva tester som t.ex.
188
SOU 2021:63 |
Informationssäkerhet |
förekommande koncept för penetrationstester som benämns black- box45, whitebox46 och greybox47.
Ett penetrationstest med godkänt resultat kan dock inte ses som en garant för att inte bli utsatt för obehörigt intrång, eftersom det inte finns några garantier att samtliga sårbarheter upptäckts under testet. Ett penetrationstest ger däremot en indikation av hur väl säkerhets- arbetetsarbetet fungerar.
De brister som upptäcks vid granskning bör dokumenteras och graderas.48 Graderingen kan sedan ligga till grund för i vilken ord- ning säkerhetsbristerna ska åtgärdas eller på annat sätt motverkas. Efter åtgärdens införande bör ytterligare test ske för att säkerställa att åtgärden har gett avsedd effekt. Rapportering och dokumenta- tion efter ett penetrationstest bör delges berörda inom en organisa- tion så att de får en djupare kunskap om bl.a. upptäckta sårbarheter.
7.10Inför driftsättning
7.10.1Allmänt om åtgärder inför driftsättning
Innan ett informationssystem tas i drift behöver verksamhetsutöva- ren säkerställa att informationssystemet är färdigställt och att det kan användas operativt i den säkerhetskänsliga verksamheten. Detta inne- fattar bl.a. att verifiera funktions- och säkerhetskrav, tillse att relevant systemdokumentation är upprättad, genomföra ett eventuellt samråd
45Blackbox är ett koncept där de penetrationstestare som ska utföra testerna inte får någon förhandsinformation om organisationens
46Whitebox är ett koncept där de penetrationstestare som ska utföra testerna får fullständig tillgång till information om organisationens
47Greybox är ett koncept som utgör en kombination av blackbox och whitebox. Här kan in- formationstilldelning och åtkomst anpassas efter behov och förutsättningar. Denna metodik används ofta i övningar med s.k. blue- och
48Gradering av säkerhetsbrister kan ske med hjälp av t.ex. Common Vulnerability Scoring System (CVSS). CVSS beaktar olika aspekter av en sårbarhet som t.ex. attackvektor, komplexitet och påverkan på konfidentialitet, riktighet och tillgänglighet. Baserat på dessa parametrar räknas ett värde från 0 till 10 fram, där 0 innebär låg risk för informationssystemet och 10 innebär kritisk risk.
189
Informationssäkerhet |
SOU 2021:63 |
med Säkerhetspolisen samt fatta beslut om driftgodkännande.49 Drift- sättning är det sista steget i en utvecklingsprocess innan ett informa- tionssystem kan börja användas operativt av verksamhetsutövaren.
Bestämmelser om driftsättning finns bl.a. i Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. Av bestämmelserna i 4 kap. 7 § i PMFS 2019:2 framgår att verksamhetsutövaren ska, innan ett informationssystem som har betydelse för säkerhetskäns- lig verksamhet tas i drift, genomföra tester av säkerhetsskyddsåtgär- derna. Resultatet ska dokumenteras och jämföras med de säkerhets- krav som gäller för informationssystemet. Den särskilda säkerhets- skyddsbedömningen ska uppdateras med eventuella avvikelser och de kompensatoriska åtgärder som måste vidtas.
Av bestämmelserna i 4 kap. 9 § i PMFS 2019:2 framgår att verk- samhetsutövaren ska, innan samråd enligt 3 kap. 2 § säkerhetsskydds- förordningen (2018:658) sker med Säkerhetspolisen, kontrollera och dokumentera att de säkerhetskrav som identifierats i den särskilda säkerhetsskyddsbedömningen har implementerats och att säkerhets- skyddsåtgärderna ger avsedd effekt.
Av bestämmelserna i 4 kap. 25 § i PMFS 2019:2 framgår att verk- samhetsutövaren även ska ha dokumentation som visar logiska sam- band och inbördes beroenden mellan komponenter som används i informationssystem som har betydelse för säkerhetskänslig verksamhet.
Av 26 § följer att verksamhetsutövaren ska för informations- system som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, dokumentera vilken hård- och mjukvara som används i informationssystemet och deras inbördes beroenden. Kraven gäller även informationssystem där en incident kan medföra synnerligen allvarlig skada för Sveriges säkerhet.
I nästa avsnitt beskrivs närmare de åtgärder som en verksamhets- utövare behöver genomföra innan driftsättning sker av informations- system som har betydelse för säkerhetskänslig verksamhet.
49Se 3 kap.
190
SOU 2021:63 |
Informationssäkerhet |
7.10.2Dokumentation
Upprättad systemdokumentation är normalt en förutsättning för att få översikt över ett informationssystem. Det är också en förutsätt- ning för att effektivt kunna hantera driftrelaterade problem och in- cidenter. Systemdokumentationen är även ett hjälpmedel för att identifiera vilka delar av informationssystemet som berörs av en säker- hetsuppdatering som ska installeras, vilka delar som berörs av en in- träffad incident samt i övrigt för att kunna identifiera beroenden mellan olika komponenter i ett informationssystem.
Verksamhetsutövaren ska upprätta systemdokumentation för in- formationssystemet innan det driftsätts. Systemdokumentation kan behövas i olika delar av en organisation, och den måste därför ut- formas på ett sådant sätt att den är till nytta för de olika avsedda mot- tagarna.50 Systemdokumentation bör även finnas i pappersform så att den är möjlig att ta del av även om den elektroniskt lagrade dokumen- tationen är otillgänglig, t.ex. vid större störningar i nätverken.
7.10.3Verifiering av funktions- och säkerhetskrav
För att en verksamhetsutövare ska kunna säkerhetsställa att ett in- formationssystem som har betydelse för säkerhetskänslig verksam- het uppfyller säkerhetskraven och att de säkerhetskyddsåtgärder som identifierats i den särskilda säkerhetsskyddsbedömningen ger öns- kad effekt, behöver informationssystemet ha genomgått testning innan driftsättning. Resultatet av dessa ska jämföras mot verksamhetsut- övarens funktionella och säkerhetsrelaterade krav för informations- systemet. Detta är ett sätt att verifiera att informationssystemet upp- fyller de krav som verksamhetsutövaren fastställt. Kraven identifieras och fastställs av verksamhetsutövaren i den särskilda säkerhetsskydds- bedömningen, och i förkommande fall genom hotmodellering. Den särskilda säkerhetsskyddsbedömningen är ett styrande dokument för alla delar i utvecklingen av ett informationssystem som ska an- vändas i säkerhetskänslig verksamhet. Detta gäller inte minst i den
50Systemdokumentation kan innehålla bl.a.:
–beskrivningar av informationssystemets arkitektur med ingående hård- och mjukvara (Solution Architecture Document, SAD),
–förklaring av hur varje komponent inom systemet fungerar, och
–beskrivningar av hur systemet bör underhållas och vad som ska göras vid vissa kända problem.
191
Informationssäkerhet |
SOU 2021:63 |
del i utvecklingsprocessen där en verksamhetsutövare ska genomföra tester och säkerhetsgranskningar.
7.10.4Driftgodkännande
Av 3 kap. 3 § säkerhetsskyddsförordningen framgår att ett informa- tionssystem som ska användas i säkerhetskänslig verksamhet inte får tas i drift förrän det har godkänts ur säkerhetsskyddssynpunkt av verksamhetsutövaren. Godkännandet ska dokumenteras.
Under vissa omständigheter är en verksamhetsutövare skyldig att även samråda med Säkerhetspolisen innan ett informationssystem tas i drift eller i väsentliga avseenden förändras.
7.11Drift och underhåll
7.11.1Allmänt om drift och underhåll
Arbetet med drift och underhåll av informationssystem avser dels att hantera olika driftrelaterade problem som kan uppstå, dels att tillse att säkerheten i informationssystemet upprätthålls över tid. Viktiga delar i detta arbete är att tillse att informationssystemet hålls upp- dateras, att föråldrad programvara byts ut samt att förändringar och avveckling genomförs på ett kontrollerat sätt.51
Bestämmelser relaterade till drift och underhåll finns bl.a. i Säker- hetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2).
7.11.2Styrning av drift och underhåll
För att tillgodose att säkerheten i ett informationssystem upprätt- hålls över tid är det viktigt att en verksamhetsutövare har en tydlig styrning av hur drift och underhåll av ett informationssystem ska han- teras. Om drift och underhåll av ett informationssystem inte han- teras på ett medvetet och strukturerat sätt av verksamhetsutövaren, kan det leda till att systemets tillförlitlighet påverkas, t.ex. genom tillgänglighetsrelaterade problem eller andra sårbarheter i informa- tionssystemet.
51Se 3 kap. 4 § säkerhetsskyddsförordningen (2018:658) och 3 kap. 3,
192
SOU 2021:63 |
Informationssäkerhet |
Av bestämmelserna i 4 kap. 10 § i PMFS 2019:2 framgår att verk- samhetsutövaren ska fastställa rutiner för hanteringen av informa- tionssystem som har betydelse för säkerhetskänslig verksamhet under systemets förväntade livstid.
Traditionellt styrs drift och underhåll av ett informationssystem med stöd av ett skriftligt ramverk som innehåller både över gripande principer och anvisningar för hur olika driftrelaterade frågor ska han- teras i praktiken. Oavsett styrmodell är det viktigt att styrdokumenten anpassas utifrån den egna verksamhetens förutsättningar och informa- tionssystemets komplexitet och omfattning. En allt för detaljreglerad styrning kan i vissa fall medföra att driften blir för svårhanterad, och en allt för svag reglering kan medföra att kontrollen över informa- tionssystemet blir bristfällig.
Vid framtagande av styrning för hur drift av informationssystem bör verksamhetsutövaren bl.a. beakta perspektiven:
–felhantering,
–förändringshantering,
–uppdateringar,
–incidenthantering,
–kontinuitetshantering.
Det är av vikt att verksamhetsutövaren etablerar tydliga roller med beskrivning av vem som gör vad, vem som har vilket ansvar och vem som har vilka befogenheter. I sammanhanget är det även av vikt att ansvaret för säkerheten i ett informationssystem tydligt anges. För- ändringar i styrande dokument för drift bör endast genomföras efter att de har godkänts av en kompetent och specifikt utpekad person eller funktion hos verksamhetsutövaren. Den praktiska hanteringen av driften av ett informationssystem bör, där det är tekniskt möjligt, hanteras konsekvent med samma verktyg och hjälpmedel.
Förändringshantering
En grundläggande princip är att informationssystem som används i säkerhetskänslig verksamhet ska hållas uppdaterade så att säkerhets- brister och sårbarheter motverkas. I praktiken innebär detta att verk-
193
Informationssäkerhet |
SOU 2021:63 |
samhetsutövaren måste förse både mjuk- och hårdvaran i informa- tionssystemet med de säkerhetsuppdateringar som publiceras av till- verkaren, samt i övrigt byta ut äldre versioner av programvara som inte längre kan förses med säkerhetsuppdateringar. Större förändringar i ett informationssystem, särskilt när ny programvara implemente- ras, kan påverka både säkerheten och tillgängligheten. Förändringar av befintlig programvara eller implementation av ny programvara som kan komma att påverka informationssystemet bör därför ske under kontrollerade former. En annan viktig aspekt att beakta vid förändringar i ett informationssystem är att förändringar inte genom- förs på ett sådant sätt som åsidosätter säkerhetsfunktioner i infor- mationssystemet, antingen tillfälligt eller permanent.
Säkerhetsuppdatering
Informationssystem som innehåller programvara som inte är upp- daterad är i många fall ett tacksamt mål för en hotaktör. Sårbarheter i programvaror identifieras löpande och blir ibland publikt kända redan innan tillverkaren av programvaran hunnit åtgärda sårbarheten och publicerat en säkerhetsuppdatering. Regelbunden uppdatering av programvara genom säkerhetsuppdateringar (s.k. säkerhetspatchar) är en åtgärd som utgör en del av det grundläggande skyddet av ett informationssystem.
Syftet med säkerhetsuppdateringar är att användaren ska ha en möjlighet att åtgärda publikt kända sårbarheter i programvaran och på så sätt minska risker för att drabbas av ett angrepp via dessa. Hur en känd sårbarhet i programvara kan nyttjas av en hotaktör skiljer sig naturligtvis åt och beror till stor del på hur programvaran är implementerad och konfigurerad av användaren.
Säkerhetsuppdateringar publiceras inte bara för mjukvara såsom applikationer och operativsystem, utan även för hårdvara i infrastruk- tur såsom exempelvis switchar, routrar och servrar.
Utbyte av programvara
Av bestämmelserna i 4 kap. 24 § i PMFS 2019:2 framgår att verksam- hetsutövaren ska se till att programvara i informationssystem som har betydelse för säkerhetskänslig verksamhet hålls uppdaterad så att
194
SOU 2021:63 |
Informationssäkerhet |
säkerhetsbrister och sårbarheter motverkas. Om det finns särskilda skäl får verksamhetsutövaren besluta om undantag från dessa krav.
Informationssystem som innehåller föråldrade versioner eller utgåvor av programvara är också ett tacksamt mål för en hotaktör. När en tillverkare släpper en ny version eller utgåva av en program- vara upphör ofta publiceringen av säkerhetsuppdateringar till äldre versioner av programvaran. Äldre versioner av programvaran kan ha tillgång till support under en övergångsperiod som fastställs av till- verkaren. Det är därför av vikt att verksamhetsutövaren har känne- dom om när tillverkarens support för en programvara upphör (s.k.
Ett informationssystem som hanterar säkerhetsskyddsklassifi- cerade uppgifter får inte anslutas direkt mot internet för hämtning av uppdateringar. Säkerhetsuppdateringar behöver därför hämtas till ett separat informationssystem och därefter, på ett kontrollerat sätt, föras över till informationssystemet som hanterar de säkerhetsskydds- klassificerade uppgifterna.
Om möjligt bör ny programvara testas i ett informationssystem som är separerat från det informationssystem där programvaran ska installeras och användas. Detta ger verksamhetsutövaren möjlighet att testa och granska hur den nya programvaran beter sig, utan att det kan påverka informationssystemet som är i drift. Samma testför- farande bör om möjligt även tillämpas vid uppdatering av och utbyte av befintlig programvara. Informationssystem som beskrivs ovan be- nämns ofta i termer av testmiljö respektive driftsmiljö.
7.11.3Beslut om undantag av säkerhetsuppdateringar
En grundläggande princip är att informationssystem som används i säkerhetskänslig verksamhet ska hållas uppdaterade så att säkerhets- brister och sårbarheter motverkas. Som ovan framgår innebär detta att verksamhetsutövaren måste förse både mjuk- och hårdvaran i in- formationssystemet med de säkerhetsuppdateringar som publiceras av tillverkaren, samt i övrigt byta ut äldre versioner av programvara som inte längre kan förses med säkerhetsuppdateringar.
195
Informationssäkerhet |
SOU 2021:63 |
Om det finns särskilda skäl får en verksamhetsutövare besluta om undantag från kravet på att programvara i ett informationssystem som har betydelse för säkerhetskänslig verksamhet hålls uppdaterad. Så kan vara fallet om det inte är tekniskt möjligt att installera säker- hetsuppdateringarna eller i det fall verksamhetsutövaren konstaterat att det uppenbarligen är obehövligt då andra kompenserade åtgärder har vidtagits.
7.11.4Säkerhetskopiering
Säkerhetskopiering är många gånger en livlina och det kan få stora konsekvenser om den är bristfällig, eftersom information som regel är en verksamhetsutövares viktigaste resurs. Brister i säkerhetskopier- ingen kan vid dataförlust åsamka verksamhetsutövaren stor skada. Även förlust av till synes ganska oviktig information kan skada verk- samheten. Verksamhetsutövaren bör därför ta fram rutiner för hur säkerhetskopiering ska hanteras.
7.12Allmänt om operativ säkerhet
Med operativ säkerhet avses det operativa arbete som syftar till att upptäcka, försvåra och hantera skadlig inverkan på informations- systemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Inom detta område är säkerhetsloggning, logg- uppföljning, säkerhetsövervakning och incidenthantering viktiga om- råden. Bestämmelser relaterade till operativt säkerhetsarbetet åter- finns i säkerhetsskyddsförordningen.
Av bestämmelserna i 3 kap. 4 § säkerhetsskyddsförordningen fram- går att en verksamhetsutövare som ansvarar för ett informationssystem som ska användas i säkerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehörig avlyssning av, åt- komst till och nyttjande av informationssystemet. Verksamhetsut- övaren ska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet.
196
SOU 2021:63 |
Informationssäkerhet |
7.12.1Säkerhetsloggning
Allmänt om säkerhetsloggning
Loggning kan göras med olika syften. En verksamhetsutövare som är ansvarig för ett informationssystem av betydelse för säkerhets- känslig verksamhet bör primärt logga händelser med syfte att kunna upptäcka och utreda skadlig eller otillåten påverkan, obehörig åtkomst och funktionsstörningar i informationssystemet.52
En logg kan beskrivas som insamlad information om en händelse och om när händelsen inträffat i ett informationssystem. Loggar är ett hjälpmedel för att kunna veta vad som hänt i ett informations- system vid ett givet tillfälle.
Loggar är en förutsättning för att en verksamhetsutövare kunna uppnå spårbarhet till olika händelser som inträffar i ett informa- tionssystem. Spårbarhet är i sin tur en förutsättning för att en verk- samhetsutövare ska kunna leda i bevis vem som har gjort vad i ett informationssystem vid ett givet tillfälle, t.ex. vem som haft åtkomst till säkerhetsskyddsklassificerade uppgifter. Detta är viktigt vid miss- tanke om brott. Vid en eventuell misstanke om brott måste en verk- samhetsutövare kunna försäkra sig om vem som gjort vad i informa- tionssystemet och där är loggar en viktig förutsättning. I övrigt är loggar även ett hjälpmedel för att i efterhand kunna identifiera orsaken till incidenter av olika slag.
Bestämmelser om loggning återfinns i Säkerhetspolisens före- skrifter (PMFS 2019:2) om säkerhetsskydd. Av bestämmelserna i 4 kap. 31 § i PMFS 2019:2 framgår att verksamhetsutövaren ska logga hän- delser som kan påverka säkerheten i informationssystem som har betydelse för säkerhetskänslig verksamhet (säkerhetsloggning).
Av 32 § framgår att verksamhetsutövaren ska ha rutiner för logg- ning av händelser som kan påverka säkerheten i informationssystem som har betydelse för säkerhetskänslig verksamhet. Rutinerna ska omfatta hur verksamhetsutövaren ska kunna upptäcka skadlig eller obehörig åtkomst eller påverkan samt funktionsstörningar. Rutinerna ska även omfatta vad som behövs i övrigt samt vilka åtgärder som ska vidtas vid upptäckta händelser.
Av 33 § framgår att för informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter ska rutinerna om-
52Se 3 kap. 4 § säkerhetsskyddsförordningen (2018:658) och 4 kap.
197
Informationssäkerhet |
SOU 2021:63 |
fatta loggning av användning och ändring av behörigheter med system- administrativ åtkomst och av roller med särskild behörighet i infor- mationssystemet.
Av 34 § framgår att verksamhetsutövaren ska bevara säkerhets- loggar i minst 10 år. För informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskydds- klassen kvalificerat hemlig ska säkerhetsloggar bevaras i minst 25 år.
Av 35 § framgår att verksamhetsutövaren ska vidta åtgärder för att skydda säkerhetsloggar mot obehörig åtkomst, ändring eller för- störing.
Vad ska loggas?
Vad som ska loggas i ett informationssystem är beroende av flera olika faktorer, bl.a. hur och av vilka informationssystemet ska an- vändas och hur det exponeras samt syftet med loggningen.
Loggar kan generas från olika typer av loggkällor. Loggning kan t.ex. ske i en programvara, i ett operativsystem eller i olika kompo- nenter i infrastrukturen för ett informationssystem. Vad som ska loggas och vilka loggkällor som ska användas behöver verksamhetsutövaren fastställa innan ett informationssystem tas i drift.
Logguppföljning och åtgärder vid upptäckta händelser
Logguppföljning är en viktig åtgärd för att kunna upptäcka skadlig eller otillåten påverkan, obehörig åtkomst och funktionsstörningar i ett informationssystem. Logguppföljning kan ske med jämna inter- valler eller i realtid som en del av en funktion för säkerhetsövervakning. För att arbetet med logguppföljning ska ge önskad effekt behöver verksamhetsutövaren ta fram rutiner som beskriver hur verksam- hetsutövarens personal ska arbeta med logguppföljning. Det är även viktigt att rutinerna innehåller en tydligt beskriven eskaleringsord- ning som stöd i beslut om åtgärd vid en upptäckt händelse, t.ex. att incidenthantering ska påbörjas.
198
SOU 2021:63 |
Informationssäkerhet |
Hantering av säkerhetsloggar
Att upprätthålla tillförlitligheten till de loggar som genereras är en mycket viktig aspekt som en verksamhetsutövare behöver beakta. En av anledningarna till detta är att loggar ofta används som underlag i internutredningar som kan leda till disciplinära åtgärder eller vid bevisföring i brottsmål. Om riktigheten i loggarna kan ifrågasättas kan det leda till att ansvar inte kan utkrävas av den som gjort sig skyl- dig till brott. En annan aspekt som en verksamhetsutövare behöver beakta är att loggar kan innehålla skyddsvärda uppgifter och att kon- fidentialiteten för loggarna därmed behöver upprätthållas.
Loggar kan skyddas på flera olika sätt, där en grundläggande åt- gärd för att skydda både riktigheten i loggarna och samtidigt upp- rätthålla konfidentialiteten är att begränsa åtkomsten till loggarna genom en strikt behörighetshantering. Tillförlitligheten kan stärkas ytterligare med hjälp av kryptografiska funktioner, t.ex. genom elek- tronisk signering.53
7.13Säkerhetsövervakning
7.13.1Allmänt om säkerhetsövervakning
Med säkerhetsövervakning avses en funktion som arbetar med aktiv övervakning av ett informationssystem med syfte att kunna upp- täcka, försvåra och hantera skadlig inverkan på informationssyste- met samt obehörig avlyssning av, åtkomst till och nyttjande av ett informationssystem.
Säkerhetsövervakning är en funktion där personal med hjälp av olika tekniska hjälpmedel aktivt söker efter oönskade aktiviteter i ett informationssystem. Vid upptäckt agerar funktionen genom att för- söka förhindra t.ex. ett intrångsförsök. Skulle ett intrångsförsök lyckas utreder funktionen hur, var och varför intrånget skedde samt vad som behövs för att förhindra framtida intrång.
53För att kunna använda loggar vid en utredning är det viktigt att säkerställa att informations- systemen och dess loggar har korrekta tidsangivelser. Ett sätt att hantera detta är att använda standardprotokollet Network Time Protocol (NTP) för synkronisering mot gemensamma tidkällor.
199
Informationssäkerhet |
SOU 2021:63 |
Bestämmelser om säkerhetsövervakning återfinns i Säkerhets- polisens föreskrifter (PMFS 2019:2) om säkerhetsskydd.54
Av bestämmelserna i 4 kap. 36 § i PMFS 2019:2 framgår att verk- samhetsutövaren ska använda funktion för säkerhetsövervakning av informationssystem som är avsett för att behandla säkerhetsskydds- klassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalifi- cerat hemlig. Kraven gäller även informationssystem där en incident kan medföra allvarlig eller synnerligen allvarlig skada för Sveriges säkerhet.
Av 37 § framgåratt verksamhetsutövaren ska ha rutiner för säker- hetsövervakning enligt 36 §. Rutinerna ska omfatta vad som ska över- vakas och vem som ansvarar för övervakningen. Rutinerna ska även omfatta vad som behövs i övrigt samt vilka åtgärder som ska vidtas vid upptäckta händelser.
En funktion för säkerhetsövervakning är beroende av både en tek- nisk plattform och av kompetent personal. Personal som arbetar med säkerhetsövervakning tillhör ofta en del i en verksamhet som benämns Security Operations Center (SOC). Vid sidan av en SOC finns ofta även en funktion för driftövervakning som benämns Net- work Operations Center (NOC). En NOC fokuserar oftast på över- vakning av informationssystem med syfte att upprätthålla tillgäng- lighet och prestanda. Båda dessa funktioner kompletterar varandra och utgör sammantaget en viktig funktion för att upprätthålla säker- heten i ett informationssystem.
Hur arbetet med säkerhetsövervakning ska genomföras behöver verksamhetsutövaren fastställa och därefter reglera i interna styr- dokument. Styrdokumenten bör innehålla en beskriven eskalerings- ordning som stöd i beslut om åtgärd när ett potentiellt intrång eller en annan oönskad händelse upptäcks.
7.13.2Åtgärder vid upptäckta händelser
När funktionen för säkerhetsövervakning upptäcker ett potentiellt intrång eller en annan oönskad händelse i ett informationssystem bör det även finnas en tydlig beskriven eskaleringsordning att ta stöd
543 kap. 4 § säkerhetsskyddsförordningen (2018:658) och 4 kap. 36 och 37 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd.
200
SOU 2021:63 |
Informationssäkerhet |
av. Utifrån denna kan de som arbetar med säkerhetsövervakning fatta beslut om vidare åtgärd. Fortsatta åtgärder kan exempelvis vara:
–att inleda fördjupad analys av händelsen, eller
–incidenthantering.
En fördjupad analys kan bestå av granskning av loggar i en loggkälla, t.ex. ett operativsystem, en programvara eller i infrastrukturkompo- nenter.55 Även analys av minnesavbilder, nätverkstrafik och eventuell skadlig kod kan vara en del av den fördjupade analysen.
7.13.3Tekniska hjälpmedel
Som ett stöd för arbetet med säkerhetsövervakning finns olika pro- gramvaror anpassade för ändamålet. Security Information and Event Management (SIEM) är en vanlig benämning på en sådan program- vara som kan vara ett stöd vid säkerhetsövervakning av skyddsvärda system.
SIEM sköter insamling och aggregering av loggar som genererats av olika loggkällor i ett informationssystem. Baserat på innehållet i loggarna identifierar och kategoriserar SIEM möjliga incidenter och händelser som skett i informationssystemet och gör sedan en auto- matisk analys av dem. SIEM har därefter två syften:
–Tillhandahålla rapporter gällande säkerhetsrelaterade incidenter och händelser såsom förekomst av skadlig kod, misslyckade in- loggningsförsök, avaktiverade användarkonton som återaktiveras och andra potentiellt skadliga aktiviteter i informationssystemet.
–Generera larm, om det under den automatiska analysen visar att sig att det förekommer potentiellt skadliga aktiviteter i informa- tionssystemet (den automatiska analysen utgår från ett fördefi- nierat regelverk där det framgår vilka parametrar och tröskelvär- den som ska generera ett larm).
Att bygga upp en funktion för säkerhetsövervakning, t.ex. SOC, är ett tidskrävande arbete. För att minska risken för inlåsningseffekter
55Fördjupad analys kan även göras i switchar, routrar, brandväggar,
201
Informationssäkerhet |
SOU 2021:63 |
kan verksamhetsutövaren, innan tekniska hjälpmedel införskaffas, definiera hur säkerhetsövervakningen ska bedrivas både under en upp- byggnadsfas och på sikt.
7.13.4Övning och utvärdering
Ett sätt att testa och utvärdera styrdokument, personella resurser och tekniska hjälpmedel som används i en funktion för säkerhets- övervakning är att genomföra övningar. Genom samarbete med pene- trationstestare kan funktionen för säkerhetsövervakning öva olika angreppsscenarion i informationssystemet, vilket gör att t.ex. tröskel- värden för generering av larm kan testas och finjusteras. Genom ett oannonserat angrepp med hjälp av penetrationstestare kan även verk- samhetsutövarens incidenthantering sättas på prov och utvärderas.
7.14Uppföljning och kontroll
7.14.1Allmänt om uppföljning och kontroll
Uppföljning och kontroll är viktiga verktyg för att kunna säkerhets- ställa att säkerhetsskyddet för ett informationssystem upprätthålls över tid och ger avsedd effekt. Ett viktigt förhållningssätt som verk- samhetsutövaren bör tillämpa i fråga om uppföljning och kontroll är att det sker med ett organisatoriskt oberoende mot den som utför drift, förändringar och underhåll i informationssystemet. Detta för att uppföljning och kontroll ska kunna ske med ett oberoende. Bestäm- melser relaterade uppföljning och kontroll finns i Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd.56
Av bestämmelserna i 2 kap. 26 § PMFS 2019:2 framgår att verk- samhetsutövaren ska regelbundet
–utvärdera om säkerhetsskyddsåtgärderna ger avsedd effekt,
–identifiera brister och sårbarheter i säkerhetsskyddet och genom- föra förbättringar,
–kontrollera och följa upp det säkerhetsskyddsarbete som bedrivs på uppdrag av verksamhetsutövaren hos externa aktörer, och
56Se 2 kap. 13 och 26 §§ och 4 kap. 2, 11 och 13 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd.
202
SOU 2021:63 |
Informationssäkerhet |
–i övrigt kontrollera och följa upp att verksamheten följer regel- verket för säkerhetsskydd.
Verksamhetsutövaren ska dokumentera åtgärderna i en plan som ska uppdateras löpande. I planen ska det anges vilken funktion som är ansvarig för åtgärderna.
Av bestämmelserna i 4 kap. 11 § PMFS 2019:2 framgår att verk- samhetsutövaren ska årligen granska säkerheten i informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgif- ter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig eller i informationssystem där en incident kan medföra allvarlig eller syn- nerligen allvarlig skada för Sveriges säkerhet.
Uppföljning och granskning av säkerheten i ett informationssystem bör vara av såväl administrativ som teknisk karaktär.
Administrativ säkerhetsgranskning kan exempelvis ta sikte på:
–att identifiera brister i verksamhetens efterlevnad av den styrning som reglerar drift, förändring och underhåll av informations- systemet, eller
–att identifiera brister i användarnas efterlevnad av de regler och rutiner som reglerar hur informationssystemet får användas.
En teknisk säkerhetsgranskning kan exempelvis ta sikte på:
–att identifiera generella brister och sårbarheter i funktioner i och kring informationssystemet,
–att granska om informationssystemet är skyddat mot publikt kända sårbarheter som borde vara omhändertagna inom ramen för verk- samhetsutövarens omvärldsbevakning, eller
–att identifiera brister i efterlevnad av den styrning som reglerar drift och underhåll av informationssystemet, exempelvis gällande hantering av tjänstekonton och användarkonton med systemad- ministrativ åtkomst.
203
Informationssäkerhet |
SOU 2021:63 |
7.14.2Efterlevnad av kravställning
De säkerhetskrav som identifierats i den särskilda säkerhetsskydds- bedömningen bör följas upp med regelbundna kontroller. Dessa kon- troller kan t.ex. vara i form av säkerhetsgranskningar, sårbarhets- skanningar och penetrationstester. Syftet med dessa kontroller är att verifiera att de säkerhetsfunktioner och den säkerhetskonfiguration som initialt applicerades vid driftsättning upprätthålls över tid. Säker- hetsarbetet måste kontinuerligt revideras och skyddet blir oftast mest effektivt om det iterativt anpassas och uppdateras.
Nya attackvägar och sårbarheter kräver att skyddet anpassas och det är inte ovanligt att säkerhetsåtgärder avaktiveras eller av andra orsaker blir ineffektiva med tiden.
Ny funktionalitet förs in, vilket både kan introducera nya sår- barheter och ändra hur verksamheten använder systemet. Därför är det en fördel om granskningar genomförs systematiskt och är årligt återkommande, men också att det rutinmässigt genomförs vid större förändringar.
7.14.3Kontroll av åtkomst och behörigheter
Uppföljning av åtkomst och behörigheter är nödvändigt då:
–förändringar kan ske i användarens anställning (t.ex. kan använ- daren byta enhet eller arbetsuppgifter, vara tjänstledig under en längre tid eller lämna projektdeltagande i förtid),
–insiders kan ha tilldelat sig otillbörliga behörigheter,
–externa hotaktörer eller insiders kan ha skapat helt nya behörig- heter, eller
–gamla användarkonton felaktigt kan ha återaktiverats (av misstag eller av en insider).
7.14.4Uppdatering av dokumentation
Lika viktigt som att upprätta dokumentation vid driftsättning av ett nytt informationssystem, system eller applikation är arbetet med att se till att dokumentationen uppdateras över tid. Vid ny eller föränd-
204
SOU 2021:63 |
Informationssäkerhet |
rad funktionalitet i it- miljö, system eller applikation ska befintlig dokumentation ses över.57
7.15Allmänt om incidenthantering
En
Begreppet
Av bestämmelserna i 2 kap. 20 § PMFS 2019:2 framgår att verk- samhetsutövaren ska ha rutiner för hantering av säkerhetshotande händelser som är av betydelse för verksamhetens säkerhetsskydd.
Av 21 § framgår att verksamhetsutövaren ska vid säkerhetshotande händelser som är av betydelse för verksamhetens säkerhetsskydd vidta åtgärder så att skadlig inverkan på den säkerhetskänsliga verksam- heten minimeras och så att den säkerhetskänsliga verksamheten så snart som möjligt kan återgå till normalläge.
Av 22 § framgår att verksamhetsutövaren ska utvärdera inträffade säkerhetshotande händelser som är av betydelse för verksamhetens säkerhetsskydd. Utifrån utvärderingen ska verksamhetsutövaren in- föra de förbättringar som krävs för att minimera skadeeffekten av liknande händelser i framtiden.
I nästa avsnitt redogörs för åtgärder som en verksamhetsutövare ska och bör beakta i fråga om incidenthantering för ett informations- system som har betydelse för säkerhetskänslig verksamhet.
57Det kan beröra policydokument, systemdokumentation, rutiner, driftsdokumentation, för- valtningsdokumentation, utvecklardokumentation, nätverkskartor, inventarielistor, m.m.
205
Informationssäkerhet |
SOU 2021:63 |
7.15.1Grundläggande förutsättningar
För att en verksamhetsutövare ska kunna hantera
Den andra viktiga komponenten är att verksamhetsutövaren tagit fram en incidenthanteringsplan. Syftet med planen är att den ska vara ett stöd i den praktiska incidenthanteringen. En incidenthanterings- plan bör vara konkret och kärnfull för att vara praktiskt användbar. En incidenthanteringsplan bör även innehålla beskrivningar av roller och ansvarsområden, mandat, prioriteringsordning, utredning, mini- mering av skador, återställning, dokumentering och rapportering.
7.15.2Genomförande
Att hantera en
–minimera skadeverkan i informationssystemet,
–utreda omfattning och orsak,
–återställa informationssysteminformationssystemet till normal- läge,
–dokumentera och rapportera incidenten till berörda intressenter, och
–utvärdera och dra lärdom av incidenten för att kunna införa de förbättringar som krävs för att minska sannolikheten för, eller mini- mera skadeeffekten av, liknande händelser i framtiden.
206
SOU 2021:63 |
Informationssäkerhet |
7.16Avveckling
7.16.1Allmänt om avveckling
En vanligt förekommande orsak till avveckling är att ett befintligt informationssystem ska ersättas av ett annat. Att övergången från det befintliga till det nya kan ske utan oplanerade avbrott i den säker- hetskänsliga verksamheten, är ofta en viktig fråga att beakta i sådana sammanhang. Andra viktiga frågor som kan bli aktuella vid avveck- ling är migrering och arkivering av data. Att avveckla ett informa- tionssystem är därför ett arbete som ofta kräver noggrann planering.
Utbyte och avveckling av komponenter i ett informationssystem är något som normalt sett sker mer frekvent än utbyte av hela infor- mationssystem.
Av bestämmelserna i 4 kap. 10 § i PMFS 2019:2 framgår att verk- samhetsutövaren ska fastställa rutiner för hanteringen av informa- tionssystem som har betydelse för säkerhetskänslig verksamhet under systemets förväntade livstid.
Av bestämmelserna i 3 kap. 3 § i PMFS 2019:2 framgår att verk- samhetsutövaren ska ha rutiner för behandling av säkerhetsskydds- klassificerade uppgifter och handlingar. Rutinerna ska reglera vad som gäller för spårbarhet, upprättande, kopiering, utskrift, utdrag, kvit- tering, förvaring, distribution, medförande, inventering och destruk- tion samt vad som behövs i övrigt för att upprätthålla ett fullgott säkerhetsskydd. Verksamhetsutövaren ska ha rutiner för behandling av uppgifter som behöver skyddas från ett tillgänglighets- eller riktig- hetsperspektiv.
Av bestämmelserna i 3 kap. 27 § i PMFS 2019:2 framgår att verk- samhetsutövaren ska ha rutiner för avveckling eller återanvändning av lagringsmedium som används i säkerhetskänslig verksamhet. Ruti- nerna ska säkerställa att information på lagringsmediet inte kan åter- skapas.58
58Rutiner för avveckling av informationssystem bör omfatta hur:
–avveckling av lagringsmedier ska hanteras,
–avveckling av komponenter ska hanteras,
–migrering av säkerhetsskyddsklassificerade uppgifter och övrig data ska hanteras,
–arkivering av data ska hanteras samt hur länge data ska bevaras, och
–avvecklingen ska dokumenteras.
207
Informationssäkerhet |
SOU 2021:63 |
7.16.2Avveckling av komponenter
Vissa komponenter som används inom ett informationssystem inne- håller systemrelaterad information som beskriver hur säkerhetsåt- gärder i informationssystemet, helt eller i vissa delar, är konfigurerade eller uppbyggda. Om en hotaktör får åtkomst till sådan information kan den i vissa fall användas för att underlätta ett angrepp på infor- mationssystemet. Det är därför viktigt att verksamhetsutövaren gör en bedömning av om den typen av information är skyddsvärd och hur den i så fall ska hanteras vid avveckling av de komponenter där den förekommer.
Även om systemrelaterad information raderas, t.ex. genom en systemåterställning, är det inte alltid en heltäckande åtgärd då infor- mationen kan finnas kvar i en minneskrets inom komponenten. Före- komst av minneskretsar bör därför beaktas särskilt vid avveckling av komponenter som innehåller säkerhetsskyddsklassificerad eller på annat sätt skyddsvärd information.
7.16.3Avveckling och återanvändning av lagringsmedia
En verksamhetsutövare är skyldig att ta fram rutiner för avveckling eller återanvändning av lagringsmedia som använts i säkerhetskänslig verksamhet. Dessa rutiner ska säkerställa att information på lagrings- mediet inte kan återskapas och bör beskriva vilket tillvägagångssätt som ska tillämpas för respektive säkerhetskyddsklass.
En vanlig metod för att förhindra möjligheten att återskapa infor- mation på lagringsmedia är överskrivning av data. Detta innebär att befintligt data vid upprepade tillfällen skrivs över och ersätts av annan data. En annan metod är att förstöra nyckeln till krypterade lagrings- media. Båda dessa metoder har vid tillfällen visat sig innehålla sår- barheter som inneburit att den som har tillgång till lagringsmediet kunnat återskapa delar av informationen. Med anledning av detta bör återanvändning av lagringsmedia ske restriktivt och endast i de fall då lagringsmediet kommer att återanvändas i ett informationssystem som omfattas av säkerhetsskydd.
För lagringsmedia som inte ska återanvändas av verksamhets- utövaren bör avveckling ske genom fysisk destruktion.
208
SOU 2021:63 |
Informationssäkerhet |
7.17Samråd om informationssystem59
7.17.1Allmänt om samråd
Av bestämmelserna i 3 kap. 2 § säkerhetsskyddsförordningen (2018:658) framgår att innan ett informationssystem som kan förutses komma att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskydds- klassen konfidentiell eller högre tas i drift, eller i väsentliga avse- enden förändras, ska verksamhetsutövaren skriftligen samråda med Säkerhetspolisen.60 Om verksamhetsutövaren hör till Försvarsmak- tens tillsynsområde enligt 7 kap. 1 § första stycket 1, ska denne i stället samråda med Försvarsmakten.
Samrådsskyldigheten gäller även i fråga om andra informations- system än sådana som anges i första stycket, om obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig. Vid ett sådant samråd lämnar Säkerhetspolisen ett yttrande kring de säkerhetsskyddsåtgärder verksamhetsutövaren har vidtagit, eller har för avsikt att vidta, samt hur dessa förhåller sig till bestäm- melserna om säkerhetsskydd i författningarna.
7.17.2Samråd inför driftsättning av ett informationssystem
Den särskilda säkerhetsskyddsbedömningen är central när en verk- samhetsutövare ska samråda med Säkerhetspolisen. En verksamhets- utövare kan inleda ett samråd med Säkerhetspolisen redan vid fram- tagandet av design och arkitektur för ett informationssystem för att i ett tidigt skede få stöd i bedömningen av om säkerhetsskydds- åtgärderna för informationssystemet uppfyller bestämmelserna om säkerhetsskydd.
I de fall en verksamhetsutövare har för avsikt att utveckla ett in- formationssystem som ska nyttjas av andra verksamhetsutövare, föreligger samrådsskyldighet primärt för den verksamhetsutövare som utvecklar informationssystemet.
Ett samråd avslutas alltid med ett slutligt yttrande från Säkerhets- polisen till verksamhetsutövaren inför driftsättning. I yttrandet läm- nar myndigheten synpunkter på de säkerhetsskyddsåtgärder verk-
59Se även kapitel 13.
603 kap. 2 § säkerhetsskyddsförordningen (2018:658) och 4 kap. 9 § Säkerhetspolisens före- skrifter (PMFS 2019:2) om säkerhetsskydd.
209
Informationssäkerhet |
SOU 2021:63 |
samhetsutövaren har vidtagit, eller har för avsikt att vidta, och hur dessa förhåller sig till bestämmelserna om säkerhetsskydd i författ- ningarna.
Säkerhetspolisen anger att för myndigheten ska kunna lämna ett ”kvalitativt” yttrande förutsätts att verksamhetsutövaren har:
–genomfört tester och verifierat att de säkerhetsskyddsåtgärder (säkerhetskrav) som identifierats i den särskilda säkerhetsskydds- bedömningen har implementerats och att de ger avsedd effekt,
–säkerställt att samtliga identifierade sårbarheter och säkerhets- brister i informationssystemet som kan medföra negativ påverkan för den säkerhetskänsliga verksamheten har omhändertagits, och
–säkerställt att eventuella undantag och kompenserande åtgärder som vidtagits i förhållande till säkerhetskraven i den särskilda säker- hetsskyddsbedömningen är dokumenterade.
7.17.3Samråd vid väsentlig förändring av ett informationssystem
Vad som utgör en väsentlig förändring i ett informationssystem kan vara svårt att entydigt definiera. En väsentlig förändring kan ta sig uttryck på många olika sätt, t.ex. när:
–ett befintligt informationssystem ska hantera uppgifter med en högre säkerhetsskyddsklassificering än tidigare,
–ett befintligt informationssystem ska integreras eller kommuni- cera med andra informationssystem, eller när exponering av annat skäl väsentligen ökar, eller
–ett befintligt informationssystem ska användas i en annan säker- hetskänslig verksamhet.
En verksamhetsutövare ska göra en bedömning av vad som kan anses utgöra en väsentlig förändring. För stöd i en sådan bedömning kan verksamhetsutövaren samråda med Säkerhetspolisen. Innan en väsent- lig förändring av ett informationssystem genomförs bör verksamhets- utövaren genomföra en särskild säkerhetsskyddsbedömning. Genom den särskilda säkerhetsskyddsbedömningen sätter verksamhetsutöva-
210
SOU 2021:63 |
Informationssäkerhet |
ren ramarna för vilka säkerhetsskyddsåtgärder som ska vidtas i och med att förändringen genomförs.
På motsvarande sätt som vid ett samråd innan ett informations- system ska tas i drift, lämnar Säkerhetspolisen ett skriftligt yttrande till verksamhetsutövaren. I yttrandet lämnar myndigheten synpunk- ter på de säkerhetsskyddsåtgärder som verksamhetsutövaren har vid- tagit, eller har för avsikt att vidta, och hur dessa förhåller sig till be- stämmelserna om säkerhetsskydd i författningarna.
211
8Offentliga utredningar och myndighetsrapporter
Bedömning: Av offentliga utredningar och myndighetsrapporter framkommer en mycket bekymmersam bild över nivån och omfatt- ningen av informations- och cybersäkerhet i samhället allmänt och särskilt vad gäller i säkerhetskänslig verksamhet och annan sam- hällsviktig verksamhet. Av utredningarna och rapporterna fram- kommer bl.a.:
–att cybersäkerhet föreslås utgöra ett särskilt beredskapsområde och inte någon egen beredskapssektor då regeringen inte har utsett någon samordnande myndighet för cybersäkerhetsom- rådet,
–att det behöver etableras samverkansformer med övriga sär- skilda beredskapsområden,
–att det behöver finnas en nationell funktion med uppgift att stödja myndigheter och samhället i övrigt i arbetet med att före- bygga och hantera angrepp inom informations- och kommu- nikationsområdet samt upprätthålla en aktuell lägesbild över samhällets digitala miljö, vilket är en viktig verksamhet för bl.a. det civila försvaret,
–att myndigheter som bedriver de mest skyddsvärda verksam- heterna i många fall har svårt att bedöma vad som är skydds- värt med hänsyn till Sveriges säkerhet,
–att myndigheter också vanligtvis har svårt att bedöma hot- bilden mot den egna verksamheten,
–att myndigheter i stor utsträckning även saknar förmågan att bedöma den egna verksamhetens sårbarheter,
213
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
–att som en följd av dessa brister har många myndigheter svårt att vidta ändamålsenliga och kostnadseffektiva säkerhetsskydds- åtgärder,
–att det finns allvarliga brister i arbetet med informations- och cybersäkerhet samt att arbetet med informations- och cyber- säkerhet och säkerhetsskydd dessutom inte är tillräckligt integ- rerade,
–att det på nationell nivå saknas enhetlig styrning och sam- ordning av arbetet med informations- och cybersäkerhet,
–att det är svårt att få en sammanhängande bild av samtliga regel- verk om informations- och cybersäkerhet samt säkerhets- skydd och hur de ska tolkas,
–att avsaknaden av en samlad statlig strategi leder till att varje myndighet gör egna utredningar, bedömningar och bygger egna lösningar för att uppfylla krav på informations- och cyber- säkerhet,
–att krav på digitalisering och kostnadseffektiva lösningar ofta ställs mot höga krav på informations- och cybersäkerhet,
–att höga krav på informations- och cybersäkerhet påverkar i sig möjligheterna att nyttja kostnadseffektiva
–att det finns svårigheter med att formulera ändamålsenliga krav för
–att informations- och cybersäkerhet inte prioriteras och att det inte avsätts tillräckligt med resurser för denna verksamhet hos många verksamhetsutövare,
–att det finns föråldrade nätverks- och informationssystem hos ett stort antal myndigheter som dessutom är verksamhetskri- tiska system,
–att teknikskulden avseende nätverks- och informationssystem påverkar förutsättningarna att arbeta med informations- och cybersäkerhet i systemen,
–att föråldrade nätverks- och informationssystem medför ris- ker för bristande informations- och cybersäkerhet samt säker-
214
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
hetsskydd, vilket även medför bristande hushållning med sta- tens medel,
–att det finns allvarliga brister i arbetet med systematisk infor- mationssäkerhet hos många verksamhetsutövare,
–att det brister bl.a. i förmågan att genomföra informations- klassificering, som ligger till grund för säkerhetsskyddsåtgär- der hos verksamhetsutövare,
–att det är svårt att finna personer med kompetens inom it, säkerhet och upphandling,
–att bristen på relevant kompetens upplevs som ett stort hinder för säker
–att myndigheterna har kommit olika långt i sitt informations- och cybersäkerhetsarbete.
8.1Inledning
Ett antal offentliga utredningar och myndighetsrapporter samt andra rapporter som berör informationssäkerhet i olika verksamheter har offentliggjorts under den senaste femårsperioden. I några av utred- ningarna och rapporterna berörs även frågor om informationssäker- het inom ramen för regleringen av säkerhetsskydd i olika verksam- heter. I detta kapitel redogörs för ett urval av dessa utredningar och rapporter i de delar som behandlar frågor om informationssäkerhet mer allmänt och informationssäkerhet inom ramen för säkerhets- skydd, såväl i offentlig som enskild verksamhet.
Urvalet har skett med utgångspunkt i direktiven att utredningen ska analysera om det finns behov av att stärka säkerheten i nätverks- och informationssystem i säkerhetskänslig verksamhet. Urvalet grun- das på behovet av att – om möjlig – få en översiktlig bild över nivån på och omfattningen av nätverks- och informationssäkerheten i an- givna verksamheter, särskilt vad avser den säkerhetskänsliga verksam- heten, men även hur arbetet med att stärka informationssäkerheten allmänt och i säkerhetskänslig verksamhet har utvecklats över tiden, eftersom dessa två frågor har beröringspunkter.
215
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
8.2Offentliga utredningar och rapporter
År 2014
Informationssäkerheten i den civila statsförvaltningen (RiR 2014:223)
Riksrevisionen konstaterade i granskningsrapporten Informations- säkerheten i den civila statsförvaltningen (RiR 2014:223) att reger- ingen gett olika myndigheter flera uppdrag med stor betydelse för informationssäkerheten i statsförvaltningen men att regeringen i liten utsträckning hade informerat sig om status på informationssäker- heten. Man noterade att regeringen i regleringsbreven inte hade ställt krav på myndigheternas nivå för informationssäkerhet. I de fall regler- ingsbreven innehöll krav på it handlar det mer om effektivisering av myndighetens it eller krav på enskilda system. Vidare utgjorde enligt regeringen risk- och sårbarhetsanalyser samt förmågebedömningar vik- tiga underlag för att möjliggöra en effektiv uppföljning, styrning och inriktning av den sammantagna krisberedskapen i samhället. Påpekan- den om brister i risk- och sårbarhetsanalyserna hade dessutom gjorts under flera år.
Riksrevisionens bedömning av den aktuella handlingsplanen för informationssäkerhet var att mål och åtgärder var av blandad karak- tär. Det fanns heller ingen central funktion i Regeringskansliet med ett utpekat ansvar för att dels vara mottagare av strategiskt viktig information som underlag för styrning från regeringens sida, dels bereda ärenden som rör informationssäkerheten i statsförvaltningen. Riksrevisionen framhöll att den granskat om informationssäker- heten i den civila delen av statsförvaltningen är ändamålsenlig utifrån ökande hot. Riksrevisionens samlade slutsats av granskningen var att arbetet med informationssäkerheten inte är ändamålsenligt sett till de hot och risker som finns och påpekade att granskningen visade på omfattande brister i statsförvaltningen. Regeringen hade inte heller någon samlad lägesbild som inkluderar hot, i vilken omfattning och mot vilka hoten realiseras samt vilka skyddsåtgärder myndigheterna vidtar. Det hade inte heller någon av regeringens stöd- och tillsyns- myndigheter. Det innebar att den samlade förmågan att kunna han- tera de konsekvenser som kan bli följden av en allvarlig incident till stora delar var okänd. Av det skälet var det nödvändigt att regeringen och dessa myndigheter vidtar åtgärder, så att det går att få en samlad
216
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
bild av läget och utifrån detta anpassa säkerheten till de behov som finns. Riksrevisionen framhöll att granskningen visade att
–regeringen inte utövat en effektiv styrning av informationssäker- heten i den civila statsförvaltningen och
–regeringens stöd- och tillsynsmyndigheter endast delvis hade vid- tagit nödvändiga åtgärder för att informera sig och regeringen om vilka hot som finns mot den civila statsförvaltningen, i vilken omfattning de realiseras och vilka skyddsåtgärder som vidtas.
Riksrevisionen framhöll hade vidare att den som ett led i gransk- ningen uppdragit åt Myndigheten för samhällsskydd och beredskap (MSB), Försvarets radioanstalt (FRA) och Säkerhetspolisen att hämta in och analysera uppgifter om läget för informationssäkerheten i statsförvaltningen. Redovisningen av dessa uppdrag innebar ny och väsentlig, ny information om läget. Vart och ett av myndigheternas yttranden pekade dessutom entydigt i samma riktning. Riksrevisio- nen drog till följd av granskningen slutsatsen att läget var allvarligt för de myndigheter som fått sina skydd testade mot intrång av FRA, och även för flera av de myndigheter vars säkerhetsskydd kontrolle- rats av Säkerhetspolisen. Enbart det faktum att myndigheterna har ett ansvar för sin informationssäkerhet verkar inte vara tillräckligt för att uppnå en god informationssäkerhet i statsförvaltningen. Säker- hetspolisen hade i sin tillsyn funnit systematiska brister i säkerhets- skyddsarbetet, framför allt i fråga om it- och informationssäkerhet hos de mest skyddsvärda myndigheterna. Det handlar till exempel om skadekonsekvensbeskrivningar som antingen saknas eller innehåller ekonomiska eller andra konsekvenser för den egna verksamheten i stället för de som rör rikets säkerhet eller terrorism. Det kan också handla om att det saknas förmågebedömningar av tänkta angripare, vilket medför att det blir oklart hur informationssäkerheten ska dimen- sioneras. Dessa brister ledde sammantaget till att dessa myndigheter inte kan ta fram ändamålsenliga kravspecifikationer för att värna de mest skyddsvärda informationstillgångarna.
Riksrevisionen betonade att det var betydande brister i säkerhets- arbetet som hade upptäckts. FRA:s penetrationstester som sker på begäran av en myndighet visade på att säkerhetsnivån är otillräcklig på flertalet av de myndigheter som blivit testade. FRA testar dess- utom informationssäkerheten på en avgränsad del av statsförvaltningen,
217
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
vilket innebär att FRA saknar kännedom om statusen på informa- tionssäkerhet för merparten av myndigheterna i statsförvaltningen. Om inte ens de mest skyddsvärda verksamheterna hade ägnat frågan tillräcklig uppmärksamhet var risken stor att motsvarande brister åter- finns även i övriga förvaltningen.
Riksrevisionen konstaterade vidare att statusen på kunskapsläget för informationssäkerheten i statsförvaltningen var oklart. Varken regeringen eller någon av stöd- och tillsynsmyndigheterna hade en bra och systematiskt underbyggd lägesbild, vilket är en förutsättning för att kunna säkerställa att man vidtar rätt åtgärder. För att arbetet med informationssäkerhet i förvaltningen ska vara effektivt krävs kunskap om såväl hot och risker som vilka hot som förverkligas och vilka skyddsåtgärder myndigheterna vidtar. Regeringen hade organi- serat arbetet på ett sätt som gör att man får kunskap om hot och risker på en övergripande nivå. Genom Säkerhetspolisens tillsyn får man även kunskap om realiserade hot och vidtagna skyddsåtgärder för de mest samhällskritiska verksamheterna. Vilka hot eller risker som realiseras mot de myndigheter som inte omfattas av säkerhetsskydds- lagstiftningen eller vilka skyddsåtgärder dessa myndigheter vidtar fanns dock ingen myndighet som kontrollerar. Regeringen hade inte heller genom regleringsbrev eller på annat sätt krävt att myndighe- terna lämnar sådan information. MSB och FRA hade i avrapporter- ingen av regeringsuppdragen om obligatorisk incidenthantering och ett tekniskt detektering- och varningssystem uttryckt att dessa åt- gärder åtminstone delvis skulle kunna ge sådan information. Dessa frågor bereddes dock – flera år efter att behovet uttryckts – fortfa- rande i Regeringskansliet. Regeringen hade således i visst avseende styrt mot en förbättrad säkerhet genom att ge dessa myndigheter uppdrag. När sedan uppdragen redovisats blev de liggande länge i Regeringskansliet utan åtgärd, vilket försvårade att få till stånd en gemensam lägesbild att utgå från när säkerheten ska förbättras.
Riksrevisionen konstaterade även att eftersom varken regeringen eller stöd och tillsynsmyndigheterna hade den fulla bilden av i vilken omfattning hot realiseras eller vilka skyddsåtgärder myndigheterna vidtar saknades en nödvändig förutsättning för ett effektivt arbete med informationssäkerhet.
Riksrevisionen fann att även myndigheternas risk- och sårbarhets- analyser hade omfattande brister när det gäller informationssäkerhet. Trots att det ställs uttryckliga krav på att informationssäkerhet ska
218
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
beaktas i analyserna, var det inte alla myndigheter som gjorde det. Det var dessutom stora variationer mellan myndigheter på hur analy- serna struktureras. Av dessa skäl var det svårt att aggregera informa- tionen från flera myndigheter, vilket gjorde det omöjligt att upprätta en gemensam lägesbild av informationssäkerheten på central nivå. Detta ledde i sin tur till att det blir svårt att analysera vilka brister som finns och därmed kunna göra en grundlig riskbedömning. Då blir det naturligtvis också svårt att vidta lämpliga åtgärder för att bygga upp nödvändig förmåga.
Riksrevisionen noterade vidare att både Säkerhetspolisen, genom sin tillsyn, och FRA, genom sin stödjande och rådgivande verksamhet, får kunskap om brister i enskilda myndigheters informationssäker- het. Ingen av myndigheterna har dock lämnat någon mer aggregerad redovisning av bristerna och vilken status det är på myndigheternas informationssäkerhet till Regeringskansliet. Ett skäl som angavs till varför så inte har skett är att det saknas en naturlig mottagare i Reger- ingskansliet.
Riksrevisionen konstaterade vidare att MSB har inget mandat att utöva tillsyn över myndigheternas informationssäkerhet. Avsakna- den av dessa verktyg försvårar för MSB att arbeta effektivt. Det fanns sedan fem år föreskrifter för ledningssystem för informations- säkerheten (LIS) utfärdade av MSB.
Riksrevisionen konstaterade att även om frågan om informa- tionssäkerhet i hög grad var aktualiserad av regeringen fanns det så- ledes stora brister. Ett skäl till problemen att få till stånd en bättre informationssäkerhet var sannolikt – enligt Riksrevisionen – att det
219
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
inte finns någon funktion som ansvarar för informationssäkerheten som helhet i statsförvaltningen, inklusive Regeringskansliet, och som är mottagare av viktig information om denna. Inte heller hade något av statsråden ett uttalat ansvar för just informationssäkerheten i stats- förvaltningen. Frågor om informationssäkerhet hanterades antingen på det departement som respektive myndighet lyder under eller be- reds i samråd med andra departement, även om informationssäker- het är en dimension som spänner över hela statsförvaltningen och dessutom har bäring på flera funktioner såsom förvaltningspolitik, intern styrning och kontroll, krishantering samt brottsbekämpning. Beroende på vilken funktion som anses mest styrande kommer an- svaret för att samordna ärendet att variera mellan olika departement. Dessa förhållanden gör att i praktiken är det inget departement som har ett samlat ansvar för informationssäkerheten i statsförvaltningen. Det innebär att det inte finns en given funktion i Regeringskansliet som kan stå för styrning och samordning av informationssäkerheten, såsom fallet är med till exempel krisberedskap där ett visst departe- ment har ett utpekat ansvar. Det betyder dessutom att det saknas en självklar mottagare av information i Regeringskansliet när det gäller informationssäkerhet. Riksrevisionen ansåg att detta var en brist som orsakar svårigheter att styra och följa upp statusen på myndig- heternas informationssäkerhet.
Riksrevisionen noterade vidare att regeringens tillsyns- och stöd- myndigheter, framför allt MSB, Säkerhetspolisen och FRA, är på olika sätt aktiva när det gäller informationssäkerhet. MSB verkar brett över hela den offentliga sektorn med uppdrag att främja en god informa- tionssäkerhet, men har inte till uppgift att utöva tillsyn över informa- tionssäkerheten i enskilda myndigheter. Dåvarande Rikspolisstyrel- sen genom Säkerhetspolisen utövar tillsyn, men har av resursskäl inte möjlighet att göra det i hela förvaltningen utan har inriktat sin tillsyn på de myndigheter som har den allra mest skyddsvärda verk- samheten. FRA agerar endast på begäran av enskilda myndigheter, och har i praktiken inte möjlighet att testa säkerheten på alla myn- digheter. Dessa myndigheter samverkar också tillsammans med PTS, Försvarsmakten och Försvarets materielverk när det gäller informa- tionssäkerhet (SAMFI). Trots dessa myndigheters verksamhet och samverkan visade granskningen att det skulle behöva göras mer, och att myndigheterna saknar mandat för det. Säkerhetspolisen bedriver viss tillsyn inriktad på särskilt skyddsvärd verksamhet, vilket utgör en
220
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
mindre del av den samlade statsförvaltningen. MSB utfärdar föreskrif- ter om ledningssystem för informationssäkerhet (LIS), men har inte till uppgift att utöva tillsyn över myndigheters arbete med informa- tionssäkerhet. Riksrevisionen bedömde att resurser för tillsyn gene- rellt inte har prioriterats i tillräcklig utsträckning.
Riksrevisionen ansåg vidare att när det gäller stödet till myndig- heterna fanns resursaspekter som var värda särskild uppmärksamhet. Den första aspekten var att det saknas en samlad avvägning för staten hur mycket resurser som behöver satsas på skyddsåtgärder sett till de risker som finns. Det fanns inte en samlad riskvärdering, utan i stället råder osäkerhet om hur starkt skyddet är, vilka händelser som ägt rum och hur hoten utvecklas. En samlad lägesbild hade gett förutsättningar för en samlad värdering av riskerna och sannolikhe- ten att hot realiseras. Detta hade i sin tur kunnat vägas mot hur om- fattande stödet behöver vara. Inträffade händelser har visat att kost- naderna kan bli betydande dels för att hantera händelsen, dels för att ställa till rätta efteråt. Risker för informationssäkerheten kan således potentiellt leda till omfattande skada, inte minst i form av extra kost- nader. Därför är det angeläget att åtgärder vidtas och prioriteras för att kontrollera dessa risker.
Den andra aspekten var att varje myndighet har ett eget ansvar för hela sin verksamhet i såväl normalläge som i krisläge, vilket är nöd- vändigt för att verksamheten ska kunna bedrivas effektivt. Det är dock sannolikt inte tillräckligt eftersom de flesta myndigheter har svårt att rekrytera och upprätthålla den kompetens som behövs för att möta behoven. De av regeringen utpekade stödmyndigheterna har dess- utom begränsade resurser och saknar möjlighet att lämna operativt stöd till enskilda myndigheter i någon större utsträckning. Riksrevi- sionen menade att det fanns behov av ett bättre utbyggt stöd som riktar sig till hela statsförvaltningen, och som kompletterar de en- skilda myndigheternas egen kompetens. Det skulle kunna leda till en bättre säkerhet totalt i statsförvaltningen, samtidigt som den totala kostnaden för informationssäkerhet borde bli väsentligt lägre än om varje myndighet håller sig med specialistkompetens.
Riksrevisionen konstaterade att granskningen visade att det råder oklarhet om läget i informationssäkerheten i statsförvaltningen och lämnade bl.a. följande rekommendationer till regeringen och reger- ingens stöd- och tillsynsmyndigheter:
221
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
–angivna brister förelåg redan 2007, och då bristerna fortfarande inte är åtgärdade är det angeläget med en skyndsam hantering,
–låt utreda om regelverket som styr arbetet med informations- säkerheten är ändamålsenligt i sin nuvarande utformning och om ansvaret för att utöva tillsyn över informationssäkerheten i den civila statsförvaltningen kan samlas och koordineras på ett bättre sätt än i dag,
–utöka tillsynen av informationssäkerheten i den civila statsför- valtningen, så att den omfattar väsentligt mer än endast de allra mest skyddsvärda delarna,
–överväg att låta tillsynsmyndigheten få mandat att utfärda sank- tioner mot myndigheter som inte vidtar nödvändiga åtgärder efter en tillsyn som visat på brister,
–se till att det finns en funktion och en process i Regeringskansliet med syfte att samlat hantera informationssäkerheten och som även ska vara mottagare av information om en samlad lägesbild och annan nödvändig information om läget för informations- säkerheten i statsförvaltningen,
–Säkerhetspolisen och FRA bör var för sig systematiskt avge agg- regerade rapporter om säkerhetsläget till Regeringskansliet och MSB.
En bild av myndigheternas informationssäkerhetsarbete 2014 – tillämpning av MSB:s föreskrifter
Myndigheten för samhällsskydd och beredskap (MSB) genomförde 2014 även en kartläggning1 (enkätundersökning) av hur statliga myn- digheter tillämpar myndighetens föreskrifter om statliga myndig- heters informationssäkerhet (2009:10) och i övrigt arbetar med in- formationssäkerhet. Enkäten lämnades till 351 myndigheter varav 334 myndigheter besvarade enkäten. Frågor om hur det praktiska informationssäkerhetsarbetet går till, och som redovisas i rapporten, ställdes till de 227 myndigheter som själva har hand om sitt informa- tionssäkerhetsarbete. Enligt myndigheten gav kartläggningen en god
1En bild av myndigheternas informationssäkerhetsarbete 2014 – tillämpning av MSB:s före- skrifter (MSB740).
222
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
bild av hur myndigheterna själva uppfattade sitt arbete med informa- tionssäkerhet och hur de arbetar med föreskrifternas olika krav. Av resultaten från enkäten framkom bl.a. att 84 procent av myndig- heterna har en informationssäkerhetspolicy men att 26 procent av myndigheterna kontrollerar inte efterlevnaden, dvs. att policyer och riktlinjer följs av medarbetarna. Vidare framkom att 38 procent av de som leder och samordnar informationssäkerhetsarbetet i myndig- heterna uppges sakna tillräcklig kompetens, resurser eller mandat för att utgöra uppdraget på ett tillfredsställande sätt. Det fram gick även att 67 procent av myndigheterna har en informationsklassningsmodell för att identifiera informationstillgångarna och kunna ställa rätt krav på informationssäkerheten samtidigt som 41 procent av myndighe- terna uppgav att det inte är tydligt uttalat vem som ansvarar för att informationsklassning genomförs och 59 procent av myndigheterna uppgav att det inte är fastslaget när informationsklassning ska ske.
Av resultaten framkom vidare att 78 procent av myndigheterna har en metod för riskanalys men att 42 procent saknar regler för vad riskanalyser ska omfatta eller när det ska ske, samtidigt som 35 pro- cent av myndigheterna saknar ett uttalat ansvar för vem som ska initiera riskanalyserna. Det framkom också att 45 procent av de myn- digheter som besvarat enkäten uppgav att myndighetens ledning i stor utsträckning löpande håller sig informerade om arbetet med informationssäkerhet medan 37 procent av myndigheterna har ingen eller en mycket begränsad utvärdering av informationssäkerhets- arbetet på myndigheten. I samband med enkäten angav myndighe- terna de önskade mer stöd, bl.a. med kravställning, uppföljning, infor- mationsklassning och kontinuitetsplanering.
År 2015
En bild av kommunernas informationssäkerhetsarbete 2015
Myndigheten för samhällsskydd och beredskap (MSB) redovisade i en rapport 2015 resultaten av en granskning av informationssäkerheten i kommunerna2 varvid myndigheten fann att fler än 70 procent av kommunerna inte arbetade systematiskt med informationssäkerhet, att över 40 procent inte hade någon utpekad funktion för informa-
2En bild av kommunernas informationssäkerhetsarbete 2015, Myndigheten för samhällsskydd och beredskap (MSB), 2015.
223
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
tionssäkerhet och att ungefär samma andel inte genomförde någon riskanalys i informationssäkerhetsarbetet.
År 2016
Informationssäkerheten i Sveriges kommuner – Analys och rekommendationer utifrån MSB:s kommunenkät 2015
Myndigheten för samhällsskydd och beredskap (MSB)3 redovisade i en ny rapport en analys och rekommendationer av den enkätunder- sökning som gjordes 2015 (se ovan). MSB konstaterade i rapporten att resultatet tyder på att informationssäkerheten i kommunerna bör stärkas på flera områden. En klar majoritet av kommunerna arbetar inte systematiskt med informationssäkerhet. Kontroll och tillsyn av säkerheten i informationssystemen genomförs i liten omfattning. En majoritet av kommunerna saknar en plan för bortfall av information i kommunens kritiska verksamhetsprocesser. Övning och utbildning är eftersatta områden. Kommunerna har i och för sig påbörjat in- förandet av ett ramverk för informationssäkerhet och utsett ansvar, men har inte implementerat ett arbete med informationsklassning och riskhantering i någon större utsträckning. Enbart en tredjedel av kommunerna har ett systematiskt arbetssätt i sitt arbete med infor- mationssäkerhet och huvuddelen av kommunerna har otillräcklig riskhantering. Sju av tio kommuner lägger tio procent eller mindre av en arbetskraft på att säkra informationen i kommunen. Enkätsvaren tyder vidare på att det finns ett gap mellan det som står i kommunens informationssäkerhetspolicy och det som operationaliseras i verk- samheten. Det finns därmed sannolikt större verksamhetsrisker hos kommunerna avseende informationssäkerheten än de är medvetna om. När det gäller hur kommuner arbetar med informationssäkerhet är det mycket som liknar arbetet hos de statliga myndigheterna. En avgörande skillnad är dock att arbetet med informationssäkerhet vid myndigheterna med stor sannolikhet gynnats av att myndigheten har föreskriftsrätt inom området. Föreskrifterna innehåller en hän- visning till standarder inom området
3Informationssäkerheten i Sveriges kommuner – Analys och rekommendationer utifrån MSB:s kom- munenkät 2015, Myndigheten för samhällsskydd och beredskap, december 2016, MSB1045.
224
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
ner har inte motsvarande informationssäkerhetsföreskrifter, vilket troligen bidragit till att det finns större brister i kommunerna, exem- pelvis i fråga om informationsklassning och riskanalyser.
Informationssäkerhetsarbete på nio myndigheter – En andra granskning av informationssäkerhet i staten (RiR 2016:8)
Riksrevisionen genomförde 2016 en andra granskning av informations- säkerhet i staten och granskade hur ett antal myndigheter arbetar med sin informationssäkerhet. Resultatet av granskningen redovisades i granskningsrapporten Informationssäkerhetsarbete på nio myndigheter – en andra granskning av informationssäkerhet i staten (RiR 2016:8). Syf- tet med denna granskning var att åter granska informationssäkerhets- arbetet vid de myndigheter som Riksrevisionen granskade
Riksrevisionen konstaterade i rapporten att granskningen visade att det ännu omkring tio år efter de granskningar Riksrevisionen då gjorde av informationssäkerhet fortfarande fanns allvarliga brister i myndigheternas arbete med informationssäkerhet.6 Granskningen visade även att det fanns enskilda delar av arbetet som fungerar väl, vilket till stor del kan förklaras av vissa initiativ från enskilda indi- vider eller delar av en verksamhet snarare än som ett resultat av ett systematiskt informationssäkerhetsarbete förankrat på ledningsnivå. Riksrevisionen framhöll att det fanns ett ansenligt behov av ännu fler insatser för att bygga upp och förvalta en informationssäkerhet som håller jämna steg med de ökande hoten som framkom genom Riks- revisionens förra granskning av informationssäkerhet.7
4Riksrevisionens granskningsrapport Informationssäkerheten i den civila statsförvaltningen (RiR 2014:23).
5Arbetsförmedlingen, Affärsverket svenska kraftnät, Bolagsverket, Försäkringskassan, Lant- mäteriet, Migrationsverket, Post- och telestyrelsen, Sjöfartsverket och Statens tjänstepensions- verk. Regeringen, Regeringskansliet och Ekonomistyrningsverket har också ingått i gransk- ningen.
6S. 4.
7Se Riksrevisionens granskningsrapport Informationssäkerheten i den civila statsförvaltningen (RiR 2014:23).
225
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
År 2017
Säkerhetspolisens rapport om generella brister i säkerhetsskyddet
Säkerhetspolisen fick 2016 i uppdrag av regeringen att redovisa dels en samlad bild av vilka generella brister som finns i säkerhetsskyddet hos de myndigheter Säkerhetspolisen har tillsyn över som bedriver mest skyddsvärd verksamhet, dels vilka ytterligare åtgärder som kan behöva vidtas för att hantera dessa brister.8 I Säkerhetspolisens redo- visning av inventeringen av säkerhetsskyddet hos myndigheter och institutioner som utifrån sin verksamhet är av högt skyddsvärde, t.ex. energiförsörjning, telekommunikation och finanssektor, framkom att ju mer frekvent en myndighet hanterar generella säkerhetsfrågor i sin kärnverksamhet, desto bättre är den på säkerhetsskydd. Hos ett flertal myndigheter fanns dock brister i arbetet med t.ex. den egna säkerhetsanalysen.
digitalforvaltning.nu (SOU 2017:23)
Regeringen beslutade i 2016 att tillkalla en särskild utredare för att analysera och lämna förslag till effektiv styrning av utveckling, in- förande och förvaltning av nationella digitala tjänster. I uppdraget ingick bl.a. analysera och lämna förslag till utformning av organisering och ansvarsfördelning för de nationella digitala tjänsterna, åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna. Regeringen beslutade i november 2016 att utvidga uppdraget och i tilläggsdirek- tivet fick utredaren även i uppdrag att analysera hur digitaliseringen i den offentliga sektorn kan stärkas genom att, inom ramen för den befintliga myndighetsstrukturen, samla ansvaret för dessa frågor till en myndighet. Den del av uppdraget som avsåg att samla ansvaret för digitaliseringen i den offentliga sektorn skulle redovisas senast den 15 mars 2017.
Utredningen om effektiv styrning av nationella digitala tjänster lämnade delbetänkandet digitalforvaltning.nu (SOU 2017:23) i mars 2017. I delbetänkandet konstaterade bl.a. att digitaliseringen av för-
8Säkerhetspolisens pressmeddelande den 16 mars 2017, www.sakerhetspolisen.se/ovrigt/
226
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
valtningen inte en intern angelägenhet utan en vital del av arbetet med att utveckla den nationella digitala infrastrukturen. Digitalisering har därför inte bara som syfte att underlätta för enskilda (medbor- gare) och företag. Den syftar också till att främja konkurrenskraften. Med detta breda perspektiv finns det – enligt utredningen – också skäl att uppmärksamma de risker som följer av en alltmer utvecklad an- vändning och spridning av individrelaterad information. Utredningen har därför valt att integrera frågor om bl.a. informationssäkerhet i utvecklingen och genomförandet av den digitala förvaltningen. Bl.a. denna fråga har därför kommit att ta en större plats i utrednings- arbetet än direktivet gett uttryck för och utredningen lämnar även flera förslag som rör frågor om bl.a. informationssäkerhet. Utred- ningen påpekade att Sverige har halkat efter jämförbara länder när det gäller digital förvaltning. Orsaken är främst ett medvetet val att delegera ansvaret för arbetet med
9S. 89 ff.
10S. 97 ff.
227
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
kraftiga mot eventuella angrepp.11 Utredningen ansåg att det behövs en övergripande plan för att stärka digitaliseringen av den offentliga sektorn. Enligt planen, som enligt utredningen bör bestå av sju punk- ter varav en är att bl.a. informationssäkerhet ska beaktas i varje skede av arbetet med att bygga ut den digitala förvaltningen.
Utredningen ansåg vidare att eftersom frågan om bl.a. informa- tionssäkerhet är av avgörande betydelse för att digitaliseringen ska lyckas bör området ska utgöra ett särskilt prioriterat område i upp- draget. Det behöver beaktas redan från början i förberedelserna inför att axla det samlade ansvaret för den offentliga sektorns digitaliser- ing. Det ska då knytas sådan kompetens till den myndighet som får uppdraget, som behövs för att beakta bl.a. informationssäkerhets- skydd i ett tidigt skede av olika projekt och uppdrag. I uppdraget ska även ingå att ansvara för samverkan med bl.a. MSB och PTS för att säkerställa att frågorna om informationssäkerhet ständigt är närva- rande när digitaliseringen genomförs. Utredningen föreslog vidare att det i uppdraget för den nya digitaliseringsmyndigheten ingå att bl.a. samverka med MSB och PTS för att underlätta myndigheternas arbete med bl.a. informationssäkerhet. Enligt utredningen behöver säkerhetsfrågorna integreras i digitaliseringen av den offentliga sek- torn. Utredningens bedömning är att stödet till statliga och kommu- nala myndigheter därför behöver stärkas i dessa frågor.
Reboot – omstart för den digitala förvaltningen (SOU 2017:114)
Utredningen om effektiv styrning av nationella digitala tjänster fram- höll i slutbetänkandet reboot – omstart för den digitala förvaltningen (SOU 2017:114) att för att digitaliseringen och dess effekter ska åtnjuta alla aktörers, inklusive individernas, förtroende och leva upp till förväntningarna om trygghet och säkerhet måste informations- säkerhetsarbetet inom offentliga myndigheter styras på ett mer kraft- fullt sätt och därmed genomsyra samtliga digitaliseringsprocesser. En kombination av krav på ett systematiskt och riskbaserat infor- mationssäkerhetsarbete, incidentrapportering och tillsyn tillsammans med ett ändamålsenligt stöd ska säkerställa att samhällets aktörer ges möjlighet att hantera och prioritera informationssäkerhetsbehoven. Utredningen konstaterade samtidigt att det ofta är svårt att motivera
11S. 102 ff.
228
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
investeringar i informationssäkerhet eftersom det sällan ger en syn- bar eller upplevd nytta direkt vid investeringstillfället. Informations- säkerhet kan t.o.m. av vissa betraktas som något som endast för- dyrar, försvårar och riskerar att försena och till och med stoppa pro- jekt. Många organisationer undviker därför att sätta sig in i vilka värden säker hantering av information ger på längre sikt. Inte sällan betraktas också informationssäkerhetsfrågor som enbart
Utredningen noterade att arbetet med informationssäkerhet är dag till stor del varje organisations eget ansvar. I och med att organi- sationer i dag är allt mer beroende av andra för sin informationshan- tering, exempelvis i de förvaltningsgemensamma digitala funktio- nerna, är det nödvändigt med samordnade åtgärder för att reducera risker och behålla säkerhetsnivån. Möjligheterna att ytterligare kraf- tigt öka resurser som läggs ned på informationssäkerhetsarbetet är dock begränsade inom många organisationer.
Utredningen konstaterade vidare att det nationella informations- säkerhetsarbetet är i dag uppdelat i olika, delvis överlappande, an- svarsområden, både på departements- och på myndighetsnivå. Detta gör att det i dag saknas ett enhetligt regelverk för och ett enhetligt arbetssätt med samhällets informationssäkerhetsarbete och att det finns få gemensamma krav på informationssäkerhet. Expert- och sektors- myndigheter har, utifrån sitt specifika ansvarsområde eller expert- område, gett ut föreskrifter som i olika grad har bäring på informa-
12Informations- och cybersäkerhet i Sverige – Strategi och åtgärder för säker information i staten (SOU 2015:23), betänkande av NISU 2014. Utredningen föreslog bl.a. att det bör etableras en nationell modell för att styra samhällets informationssäkerhet.
13Informationssäkerhetsarbete på nio myndigheter – En andra granskning av informationssäker- het i staten (RiR 2016:8).
229
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
tionssäkerhet. Genom att fler aktörer – utan samordning – utfärdar regler på området finns dessutom en stor risk att fragmenteringen av kravställningen på området ökar. Detta får inte sällan till resultat att erfarenheter och kunskap som finns inte nyttjas effektivt, att de resur- ser som allokeras inte används inom de områden där bristerna är som störst och att utfärdade informationssäkerhetskrav fördröjs eller aldrig blir utförda på grund av oklara ansvarsförhållanden.
Utredningen menade att det fragmenterade arbetet leder till att det saknas gemensamma riktlinjer för vilket skydd olika typer av in- formationstillgångar minst bör ha. Detta leder till att samma typ av information riskerar att få helt olika skydd beroende på var i för- valtningssystemet som den hanteras. Detta innebär inte sällan även effektivitetsbrister då lösningar får olika utformning vilket skapar en minskad interoperabilitet som i sin tur leder till en ökad kostnad.
Utredningen ansåg att även bristen av samordnat rättsligt stöd medför svårigheter att säkerställa att offentliga aktörer har rätt förut- sättningar i sitt arbete med att genomföra och förvalta digitaliserings- arbetet på ett sådant sätt att de tjänster som erbjuds uppfyller till- räckliga krav på tillgänglighet, riktighet och konfidentialitet.
Utredningen noterade vidare att den inte har kunnat finna någon samordnad tillsyn av det systematiska informationssäkerhetsarbetet. Viss tillsyn finns, t.ex. Post- och telestyrelsen (PTS) inom området elektronisk kommunikation samt Försvarsmakten och Säkerhets- polisen gällande säkerhetsskyddet. När det gäller kommuner, de som kanske kommer att erbjuda flest digitala tjänster, finns dock inte några lagkrav på att arbeta systematiskt med informationssäkerhet, inga krav på att rapportera incidenter och inte heller någon tillsyn. Inom vissa delar av det offentligas verksamhet kommer tillsynen utökas genom
230
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
dighet ska åstadkomma medan andra delar har mer övergripande målformuleringar finns en risk att den detaljerade regleringen får en starkt styrande inverkan på tillsynen, med den konsekvensen att annan mer strategiskt inriktad tillsyn får stå tillbaka. Det finns också en stor risk att organisationer som är utsatta för tillsyn fokuserar arbetet på de delar som granskas mer specifikt och att arbetet att jobba med informationssäkerhet över hela linjen får stå tillbaka. De uppföljningar som har gjorts inom området informationssäkerhet har bl.a. visat att myndigheternas granskning av sitt eget informations- säkerhetsarbete behöver effektiviseras. Granskningen kan bedrivas med olika metoder och på olika nivåer. Den kan också behöva kom- bineras med rapportering av resultatet av genomförda granskningar för att uppnå avsedd effekt. Olika alternativa vägar för att stärka både granskning och rapportering av informationssäkerhetsarbetet bör övervägas.
Utredningen föreslog mot den ovan angivna bakgrunden bl.a. att regeringen:
–inleder ett arbete att samordna och strukturera reglering inom in- formationssäkerhetsområdet,
–ger digitaliseringsmyndigheten i uppdrag att ta fram och mäta nyckeltal för informationssäkerhetsrelaterade aspekter i syfte att följa informationssäkerhetsmognaden i förhållande till digitali- seringen,
–tar fram rättsliga krav som omfattar samtliga offentliga myndig- heter att införa ett systematiskt och riskbaserat informations- säkerhetsarbete, och
–ger MSB i uppdrag att utreda hur tillsyn över informationssäker- hetsområdet och incidentrapportering kan genomföras.
Länsstyrelsernas förutsättningar att stödja kommuner gällande informationssäkerhet
Myndigheten för samhällsskydd och beredskap (MSB) gav 2017 Hög- skolan i Skövde, institutionen för Informationsteknologi, i uppdrag att genomföra en studie med syfte att kartlägga länsstyrelsernas fak- tiska möjligheter och hur de arbetar med att samordna och stödja kommunernas arbete avseende informationssäkerhet. I rapporten
231
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
framhålls att resultatet visar att länsstyrelserna behöver ett tydligt uppdrag med tillhörande mandat och resurser för att ha förutsätt- ningar att kunna samordna och stödja kommunerna i deras infor- mationssäkerhetsarbete. Detta anser de involverade länsstyrelserna saknas i nuläget. Dessutom visar resultatet på att det finns omfattande kompetensbrist inom informationssäkerhetsområdet. Kompetens- bristen finns såväl i det interna arbetet som i det externa arbetet ut mot kommunerna, allt från ledningsnivå till operativ nivå. Det finns även behov av tydligare roller både strategiskt och operativt för att sätta igång arbetet och möjliggöra en tydligare överblick. Detta be- hövs för att ge förutsättningar till länsstyrelserna för att kunna sam- ordna och stödja kommunerna i informationssäkerhetsarbetet relaterat till kris och höjd beredskap men även för att erhålla en strategisk helhetssyn på informationssäkerhetsarbetet utifrån ett samhällsper- spektiv.
Bevakningsansvariga myndigheters informations- och cybersäkerhet
Myndigheten för samhällsskydd och beredskap (MSB) fick 2017 i uppdrag av regeringen att, i samverkan med Försvarsmakten och Säkerhets- polisen, redovisa en sammanvägd rapport utifrån samtliga bevaknings- ansvariga myndigheters redovisningar av analyser och bedömningar av sin informationssäkerhet i de delar av den egna verksamheten som är nödvändiga för att myndigheten ska kunna utföra sitt arbete. Säkerhetspolisen och Försvarsmakten har i samverkan bidragit med sina respektive perspektiv på den bild och den analys som MSB sam- manställt baserat på redovisningarna.
MSB konstaterade att redovisningarnas varierande kvalitet och omfattning beror på myndigheternas varierande mognad i informa- tionssäkerhetsarbetet. En mogen organisation identifierar många ris- ker som är relevanta och organisationen har ett systematiskt arbets- sätt för att åtgärda bristerna. En mindre mogen organisation identi- fierar färre brister och inte nödvändigtvis de som är mest kritiska för verksamheten. Därutöver tenderar en mindre mogen organisation att inte heller precisera vilka åtgärder som ska genomföras för att minska de identifierade riskerna. Det är av största vikt att alla myndigheter uppnår en nivå av informations- och cybersäkerhet där de har för- måga att arbeta systematiskt så att de kan identifiera sina risker och
232
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
åtgärda brister på ett adekvat sätt. MSB drar bl.a. följande övergri- pande slutsatser av redovisningarna:
–det finns brister i koppling mellan verksamhetsansvar och infor- mations- och cybersäkerhetsansvar,
–få myndigheter följer myndighetens föreskrifter i sin helhet,
–underlaget från bevakningsansvariga myndigheter kan förbättras gällande både omfattning och kvalitet,
–arbetet med informations- och cybersäkerhet och säkerhetsskydd är inte tillräckligt integrerat.
År 2018
Säkerhetspolisens offentliga redovisning – Säkerhetsskydd hos myndigheter med mest skyddsvärd verksamhet
Säkerhetspolisen rapporterade 2018 att de myndigheter som bedriver de mest skyddsvärda verksamheterna i många fall har svårt att be- döma vad som är skyddsvärt med hänsyn till Sveriges säkerhet. Enligt Säkerhetspolisen har myndigheter också vanligtvis svårt att bedöma hotbilden mot den egna verksamheten. I stor utsträckning saknar även myndigheter förmågan att bedöma den egna verksam- hetens sårbarheter. Som följd av dessa brister har många myndig- heter svårt att vidta ändamålsenliga och kostnadseffektiva säkerhets- skyddsåtgärder. Säkerhetspolisen finner det därför angeläget att alla myndigheter genomför säkerhetsanalyser och bedömer vilken infor- mation och verksamhet som är skyddsvärd. Dessutom framhålls att säkerhetsarbetet bör prioriteras högre.14
Granskning av Transportstyrelsens upphandling av
Regeringen beslutade den 3 augusti 2017 att en utredare skulle granska den upphandling av
14Säkerhetspolisens offentliga redovisning Säkerhetsskydd hos myndigheter med mest skydds- värd verksamhet,
233
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
andra skäl sekretessbelagd information har hanterats på ett sätt som strider mot svensk lag.15
Utredaren lämnade departementspromemorian Granskning av Transportstyrelsens upphandling av
Utredaren bedömde vidare att den andra huvudsakliga orsaken till att upphandlingen av
Utredaren ansåg att när det gäller ansvarsfrågan kunde dessa tre huvudsakliga brister härledas främst till myndighetens ledning. Ut- redaren ansåg bl.a. att det innebar att styrelsen och de tidigare gene- raldirektörerna hade ett ansvar för hur myndigheten varit organiserad, prioriterat sina resurser och agerat i praktiken. Även andra befattnings- havare bar också ett ansvar, bl.a. ansvariga avdelningschefer, projekt-
15N2017/04991/SUBT.
234
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
ledare och säkerhetsfunktioner, som alla brustit i olika hänseenden när det gäller de tre ovan angivna bristerna.16
Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)
Digitaliseringsrättsutredningen lämnade betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) i mars 2018. Ut- redningen framhöll att av direktiven framgår att den ska särskilt beakta behovet av informationssäkerhet i sitt arbete. Utredningen noterade att under kartläggningsarbetet, och utifrån övriga kontakter den har haft inom ramen för utredningen, har det tydliggjorts att informationssäkerhet är en förutsättning för den fortsatta utvecklingen av en trygg, innovativ och effektiv digitalt samverkande förvaltning. I betänkandet framhöll utredningen att förvaltningens digitalisering inte kan diskuteras utan att frågor om informationssäkerhet belyses särskilt. Utredningen konstaterade att god informationssäkerhet be- hövs för att möta nya risker i verksamheten. Utredningen fann att i digitaliseringsarbetet står myndigheterna inför många gemensamma utmaningar. Det gäller inte minst informationssäkerheten. Flera aktörer har påtalat att ju mer information som samlas in och hanteras desto svårare blir det att leva upp till säkerhetskraven.17 Varje myn- dighet ansvarar självständigt för att informationsklassa sin infor- mation.18 Men när myndigheter samverkar och utbyter information framhålls att det behövs en enhetlig informationsklassning för att informationen ska få likvärdigt skydd hos alla myndigheter som hanterar den. Inom ramen för myndighetsgemensamma system upp- står dessutom ofta nya informationsmängder och även dessa måste kunna hanteras korrekt ur ett informationssäkerhetsperspektiv.
I utredningen kartläggningsarbete efterfrågande myndighetsrepre- sentanter mer styrande reglering kring myndigheternas informations- säkerhetsarbete. Man framförde att det vore lämpligt med en förvalt- ningsgemensam reglering av behörighetsstyrning. På så sätt skulle man kunna säkerställa tillgänglighet till information av god kvalitet till
16Departementspromemorian Granskning av Transportstyrelsens upphandling av
17Ny finansieringsmodell för grunddatautbyte mellan statliga myndigheter samt kommuner och landsting (ESV 2017:54).
18Med informationsklassning avses att genom konsekvensanalys identifiera skyddsbehovet för en viss informationsmängd. Se 4 § Myndigheten för samhällsskydd och beredskaps före- skrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1).
235
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
dem som har ett konstaterat behov av att ta del av informationen från en viss källa. Vidare framfördes att ett bredare tillsynsuppdrag över myndigheters arbete med informations- och cybersäkerhet be- hövs. Vidare framhölls att varje myndighet ansvarar dessutom för sina bedömningar och
Utredningen framhöll att den uppmärksammat att många av de utmaningar kring informationssäkerhet som myndigheterna står inför är gemensamma för hela förvaltningen. Det är en avgörande förut- sättning för att informationssäkerhetsfrågorna ska få den uppmärk- samhet de förtjänar att frågorna prioriteras av myndighetsledningen. Verksamheten behöver avsätta tillräckliga resurser, såväl tidsmässiga som personella, för att kunna arbeta aktivt och löpande med infor- mationssäkerheten. Om det saknas tillräckliga resurser för informa- tionssäkerhetsarbetet finns det en risk för att verksamhetens fokus läggs på leveranserna i kärnverksamheten i första hand och på säker- heten i andra hand.
Utredningen noterade att flera aktörer har framhållit behovet av att hantera frågor om informationssäkerhet vid myndighetssam- verkan. Det gäller särskilt myndighetssamverkan eller som inklu- derar informationsutbyten. Information som utbyts mellan myndig- heter behöver ha ett tillräckligt skydd hos alla aktörer som hanterar den. Informationsutbyten kan också medföra att nya informations- mängder uppstår. Det behöver finnas en beredskap för att hantera dessa informationsmängder på ett säkert och ansvarsfullt sätt. Av- saknaden av reglering tenderar att medföra att varje myndighet upp- finner sina egna rutiner för informationssäkerhet när det gäller klassning av informationstillgångar, utformning av roller och behörighetstill- delning för åtkomst till information i
236
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
reglering som lägger grunden till en förvaltningsgemensam syn på informationssäkerheten i den offentliga förvaltningen efterfrågas.
Utredningen konstaterade att reglering av informationssäkerhet som träffar olika aktörer och information, med delvis olika syften, finns spridd i olika föreskrifter. Utredningen menade att ett mer sammanhållet arbete med informationssäkerhet i den offentliga för- valtningen har potential att effektivisera den digitala utvecklingen utan att säkerheten åsidosätts. Det gäller inte minst när myndigheter sam- arbetar i gemensamma utvecklingsarbeten som innefattar informa- tionsutbyten. Mot den bakgrunden bedömer utredningen att det även efter genomförandet av bl.a.
Utredningen framhöll att förutsättningarna att tillhandahålla viss samordnad
Utredningens påpekade samtidigt att inom informationssäker- hetsområdet saknas viss reglering som träffar hela den offentliga för- valtningen. För att uppnå nödvändig säkerhet och skydd för infor- mation och upprätthålla enskildas förtroende för den digitala utveck- lingen i hela den offentliga förvaltningen är det angeläget att etablera ett gemensamt förhållningssätt till informationssäkerhetsfrågorna som omfattar den offentliga förvaltningen i stort. Informationssäker- heten bör som utgångspunkt angripas på ett enhetligt sätt av samt- liga myndigheter. Ett mer sammanhållet arbete med informations- säkerhet i den offentliga förvaltningen har potential att effektivisera den digitala utvecklingen i offentlig förvaltning utan att säkerheten åsidosätts. Det gäller inte minst när myndigheter samarbetar i gemen- samma utvecklingsarbeten som innefattar informationsutbyte. För att reducera risker och behålla en god säkerhetsnivå hos alla samver- kande myndigheter är det angeläget att myndigheter vidtar samord-
237
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
nade informationssäkerhetsåtgärder. Regeringen bör därför låta ut- reda förutsättningarna för att ta fram en kompletterande reglering om informationssäkerhet som omfattar hela den offentliga förvalt- ningen.
Utredningen noterade i detta sammanhang vad Utredningen om effektiv styrning av nationella digitala tjänster föreslår i sitt slutbetän- kande om att regeringen tar fram rättsliga krav för ett systematiskt och riskbaserat informationssäkerhetsarbete för samtliga offentliga myndigheter.19 Utredningen uttalade att den ansluter till de bedöm- ningar som den utredningen har gjort men anser att det finns skäl att utveckla förslaget ytterligare. Enligt utredningens bedömning behövs ett rättsligt styrmedel som utgör ett tydligt incitament för myn- dighetsledningar att prioritera och ge nödvändiga resurser till arbetet med informationssäkerhet, samtidigt som ledning ges i fråga om vilka åtgärder som behöver vidtas. Ytterligare förvaltningsgemen- samma rättsregler kan ge såväl styrning som stöd inom informations- säkerhetsområdet. Vissa generella och grundläggande krav på infor- mationssäkerhetsarbetet för hela den offentliga förvaltningen skulle kunna regleras i form av lag. En sådan informationssäkerhetslag, för den offentliga förvaltningen i stort, i kombination med föreskrifts- rätt, kan – enligt utredningens uppfattning – vara en lämplig form för ytterligare styrning och stöd inom informationssäkerhetsområdet. En lag om informationssäkerhet har möjlighet att lägga grunden till en mer enhetlig ansats i informationssäkerhetsarbetet inom den offent- liga förvaltningen. Ett större mått av enhetlighet ger bättre förutsätt- ningar att t.ex. effektivisera gemensamma utvecklingsarbeten i den offentliga förvaltningen.
Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82)
Regeringen beslutade den 23 mars 2017 att tillkalla en särskild ut- redare med uppdrag att överväga vissa frågor i säkerhetsskyddslag- stiftningen (dir. 2017:32). Förslagen skulle komplettera de förslag som lämnats i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Utredningen skulle enligt direktiven kartlägga behovet av att före- bygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säker- hetskänslig verksamhet utsätts för risker i samband med utkontrak-
19SOU 2017:114, kapitel 9.
238
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
tering och upplåtelse. Utredningen lämnade betänkandet Komplet- teringar till den nya säkerhetsskyddslagen (SOU 2018:82) i november 2018.
Utredningen konstaterade att det finns flera brister i säkerhets- skyddsarbetet som t.ex. yttrar sig vid utkontraktering av säkerhetskäns- lig verksamhet men också vid vissa upplåtelser och andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten. Vissa av bristerna gäller säkerhetsskyddet generellt, t.ex. att verksam- hetsutövaren inte tillämpar säkerhetsskyddsreglerna eller har bris- tande kunskap om sina skyddsvärden. Sådana brister accentueras när verksamhetsutövaren utkontrakterar en del av den säkerhetskänsliga verksamheten eller på annat sätt kopplar in utomstående i verksam- heten. Andra brister handlar specifikt om olika förfaranden där utom- stående involveras i den säkerhetskänsliga verksamheten, däribland utkontraktering och upplåtelse men också andra förfaranden. Bris- terna handlar om att man inte alltid prövar om förfarandet är lämp- ligt eller att det är svårt att pröva lämpligheten, att säkerhetsskydds- avtal kan vara bristfälliga, att man inte följer upp förfarandet medan det pågår och att det saknas tillräckliga möjligheter för samhället att ingripa mot förfaranden som är olämpliga från säkerhetsskyddssyn- punkt.
Utredningen konstaterade att stora konsekvenser kan uppstå när
Utredningen noterade att det finns verksamhetsutövare som inte tillämpar säkerhetsskyddslagen. I betänkandet En ny säkerhetsskydds- lag (SOU 2015:25) anges att det antagligen finns verksamheter av stor betydelse för Sveriges säkerhet som över huvud taget inte till- lämpar säkerhetsskyddslagstiftningen (s. 477). Denna bild stöds av det som framkommit under utredningens möten med myndigheter, enskilda och utredningens experter. Att verksamhetsutövare som be- driver säkerhetskänslig verksamhet inte tillämpar säkerhetsskyddslag- stiftningen är i sig allvarligt eftersom det innebär en sårbarhet för de värden som lagstiftningen ska skydda. Inte minst innebär det en
239
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
överhängande risk för att man inte gör en säkerhetsskyddsanalys, vilket i sin tur kan leda till bristande kunskap om de egna skydds- värdena. Det framstår som särskilt allvarligt med brister i tillämp- ningen vid utkontraktering och upplåtelsen eftersom säkerhetskäns- lig verksamhet och säkerhetsskyddsklassificerade uppgifter därigenom kan utsättas för ytterligare sårbarheteter. En utebliven eller bristande säkerhetsskyddsanalys kan leda till att verksamhet utkontrakteras eller andra slags förfaranden inleds i fall där det av säkerhetsskydds- käl inte borde ske. I andra fall kan det leda till att en i och för sig lämplig utkontraktering, upplåtelse eller något annat förfarande äger rum utan att det ingås ett säkerhetsskyddsavtal. Detta innebär också en ökad risk för att motparten i avtalet inte vidtar de säkerhetsskydds- åtgärder som behövs, vilket kan leda till sårbarheter och skador för Sveriges säkerhet. Den omständigheten att den nya säkerhetsskydds- lagen i större utsträckning än tidigare kommer att gälla för enskilda verksamhetsutövare underströk – enligt utredningen bedömning – behovet av förebyggande åtgärder.
Utredningen ansåg vidare att det finns bristande kunskaper om egna skyddsvärden. En bild som tydligt framträdde under utred- ningens möten med experter, myndigheter och enskilda var att många verksamhetsutövare saknar tillräcklig kunskap om vilka skyddsvär- den som finns i den egna verksamheten. Sådana brister har ofta blivit synliga inför och under utkontrakteringar. Utredningen framhöll att Säkerhetspolisen har bl.a. observerat att det har förekommit utkon- traktering av säkerhetskänslig verksamhet utan säkerhetsskydds- avtal, att säkerhetsskyddet vid utkontraktering har dimensionerats på fel sätt och att verksamhetsutövare har saknat kunskap om verk- samhetens roll i samhället, dess betydelse för Sveriges säkerhet och om beroenden mellan den utkontrakterade verksamheten och annan verksamhet av betydelse för Sveriges säkerhet. Bristerna kan i stor utsträckning härledas till bristande kunskaper om den egna verksam- hetens skyddsvärden, bl.a. har verksamhetsutövare inte känt till vilka känsliga uppgifter som hanterats i verksamheten. Vidare har verk- samhetsutövare inte varit medvetna om vilka beroenden som finns till den egna verksamheten och hur dessa beroenden påverkar Sveriges säkerhet. Sådana brister utgör ett påtagligt problem vid utkontrak- teringar eftersom kunskap om egna skyddsvärden är en förutsättning för att verksamhetsutövaren ska kunna formulera krav på hur leve- rantören ska tillgodose kraven på säkerhetsskydd. Bristande kunskaper
240
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
om skyddsvärden utgör ett problem vid bl.a. utkontrakteringar. Ut- redningen menade det behöver införas förebyggande åtgärder som syftar till att höja verksamhetsutövarnas kunskap om egna skyddsvär- den. Detta är inte bara viktigt för att förebygga negativa konsekven- ser vid utkontraktering utan också vid upplåtelser, upphandlingar och andra förfaranden där utomstående får tillgång till säkerhetsskydds- klassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet.
Med utgångspunkt i kartläggningen av utvecklingsbehovet före- slog utredningen en bred ansats och ett antal förebyggande åtgärder som inte enbart är inriktade på utkontraktering och upplåtelse, utan som kan aktualiseras även vid vissa andra förfaranden med utom- stående parter.
Regeringen har i den påföljande lagstiftningsprocessen delat mer- parten av utredningens bedömningar (prop. 2020/21:194). I kapitel 13 redogörs närmare för regeringens lagförslag.
År 2019
Granskningsrapport: Föråldrade
Riksrevisionen har granskat förekomsten av föråldrade
–hinder för en effektiv digitalisering (RIR 2019:28), visar att det finns föråldrade
241
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
mer effektiva
Riksrevisionens slutsats är sammantaget att problemet med för- åldrade
242
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
dömer att myndigheternas bristande arbete med digitaliseringsstra- tegier kan även de vara en förklaring till att många myndigheter brot- tas med en
Kommunernas informationssäkerhetsarbete – en övergripande kartläggning av kommunernas systematiska informationssäkerhetsarbete
Sveriges Kommuner och Regioner (SKR) genomförde under våren 2019 en webbenkät om hur långt kommunerna kommit i sitt syste- matiska informationssäkerhetsarbete. SKR utarbetade webbenkäten tillsammans med MSB. Enkäten var utformad för att kartlägga om resurser avsatts för att driva informationssäkerhetsarbetet, om grund- läggande åtgärder vidtagits och vilken mognadsgrad den svarande kommunen själv skattade att den nått. Sammanfattningsvis framkom av enkäten att det finns en djup och bred förståelse av hur viktigt ett grundläggande systematiskt informationssäkerhetsarbete är för all fortsatt digitalisering. Det som fortfarande återstår på många håll är styrning, ledning, avsatta medel och resurser för arbetets planering och genomförande samt en tydlig uppföljning som är integrerad i övrig verksamhetsuppföljning. Det återstår fortsatt arbete i införandet av ett systematiskt och riskbaserat informationssäkerhetsarbete, inom samtliga undersökta områden i enkäten, bl.a. informerar sig färre än 3 av 10 kommunledningar om statusen för informationssäkerhets- arbetet, i endast 2 av 10 kommuner omsätts ledningens mål i kon- kreta handlingsplaner. I strax över 5 av 10 kommuner finns en hanter- ing av informationssäkerhetsriskerna. Strax över 5 av 10 kommuner har ett etablerat arbetssätt för klassning av informationstillgångar. I 6 av 10 kommuner finns ett etablerat arbetssätt för hantering av infor-
243
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
baserat informationssäkerhetsarbete beror ofta på ledningens aktiva engagemang, och här uppvisar många kommuner brister. Snarare före- faller ledningen delegera ned även styrningen av arbetet i organisa- tionen. Vissa av de kommuner som själva skattat sitt arbete högt verkar ha kommit så långt tack vare intresserade och motiverade med- arbetare som givits utrymme att utforma informationssäkerhets- arbetet. Vidare verkar det som om många kommuner själva tar fram sina arbetsmetoder. En gemensam nämnare bland de kommuner som inte skattat sitt arbete högt är att ledningen delegerat ansvaret för uppdraget, men inte tilldelat resurser. Att engagera ledningen verkar vara kopplat till frågan om medvetenhet. Det förefaller ofta saknas tillräcklig kunskap om den egna organisationens behov av informa- tionssäkerhet hos såväl den politiska- som tjänstemannaledningen. Den ökade graden av digitalisering och högre krav från allmänheten att få ta del av information verkar driva arbetet med informations- säkerhet. De som lyckats med sitt arbete förefaller ha tagit ett en- hetligt grepp om frågan och arbetat aktivt med att förenkla sina arbets- sätt och anpassar dem efter lokala förhållanden. Avsaknaden av ett systematiskt angreppssätt verkar begränsande på kommunens arbete, även där medarbetare uppmärksammat behovet av informationssäker- het. Här verkar det vanligare med ad
En struktur för uppföljning av det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen – Redovisning av regeringens uppdrag
Myndigheten för samhällsskydd och beredskap (MSB) fick 2019 även regeringens uppdrag att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet i den offentliga förvalt- ningen.20
MSB redovisade myndighetens svar i skrivelsen En struktur för upp- följning av det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen. I svaret påpekade myndigheten att en uppföljning av informationssäkerhetsarbetet upplevs ofta som en utmaning, samtidigt som det är en förutsättning för att en organisation ska kunna uppnå
20Ju2019/03058/SSK, Ju2019/02421/SSK.
244
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
och bibehålla ett adekvat skydd. Målsättningen med uppföljnings- strukturen är att statliga myndigheter, kommuner och regioner ska erbjudas stöd i sitt uppföljnings- och förbättringsarbete och att reger- ingen ska få en samlad nivåbedömning av det systematiska informa- tionssäkerhetsarbetet i offentlig förvaltning. Myndigheten utvecklade i samverkan med företrädare för målgruppen en uppföljningsmodell. Modellen delar in det systematiska informationssäkerhetsarbetet i fyra nivåer, som är tänkta att motsvara ett stegvis utvecklingsarbete. Genom att besvara uppföljningsmodellens frågeformulär får en orga- nisation automatisk återkoppling om sin nivå, styrkor och utveck- lingsområden. Kompletterande återkoppling (benchmarking) erhålls efter inrapportering till MSB. I analysen av det samlade underlaget kan MSB dra slutsatser om vad för stöd och satsningar som är på- kallade på nationell nivå. Uppföljningsstrukturen löper över två år, med lansering planerad till 2021. Därefter kommer uppföljningen att genomföras regelbundet i tvåårscykler, vilket bl.a. ger möjlighet att identifiera utvecklingstrender över tid. MSB bedömer att myndig- hetens uppföljningsstruktur bör kunna bidra till ett förbättrat och mer enhetligt arbete med informationssäkerhet inom offentlig för- valtning. Detta förutsätter dock ett brett deltagande från den offent- liga förvaltningen, främjande av en positiv och bejakande uppföljnings- kultur, samt resurssättning av identifierade förbättringsområden.
År 2020
Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden 2020
Försvarets radioanstalt (FRA), Försvarsmakten, Myndigheten för sam- hällsskydd och säkerhet (MSB) och Säkerhetspolisen har i en fördjupad myndighetssamverkan tillsammans med Polismyndigheten gemen- samt tagit fram rapporten Cybersäkerhet i Sverige – Hot, metoder, bris- ter och beroenden 2020.21 I rapporten påpekas att det finns en avsak- nad av ett strukturerat säkerhetsarbete. Cybersäkerhet är en viktig del i nästan allt säkerhetsarbete eftersom digital information och digitala tjänster används i de flesta verksamheter. Samtidigt har det visat sig att arbetet med cybersäkerhet i Sverige går trögt, med brister i cyber-
21Rapporten är framtagen av Försvarets radioanstalt, Försvarsmakten, Myndigheten för sam- hällsskydd och beredskap, Polismyndigheten och Säkerhetspolisen inom ramen för en för- djupad samverkan.
245
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
säkerheten som följd. Genomförda granskningar och tillsyner visar att arbetet med cybersäkerhet inte är ändamålsenligt sett till de hot och risker som finns.
I rapporten görs bedömningen att det är vanligt förekommande med brister i systematiskt cybersäkerhetsarbete. Planering och genom- förande av säkerhetsarbete är en dynamisk process som kräver fort- löpande uppföljning och utvärdering. De framsteg som sker inom informationsteknik gör att samhället behöver förhålla sig till nya teknologier i samband med sin verksamhetsutövning. Dessa teknik- språng ställer krav på att verksamheterna förstår och kan bedöma förändringar i sin teknikanvändning. När ny teknik introduceras kan det ske gradvis och det kan vara svårt att fastställa en tidpunkt när man behöver revidera en säkerhetsanalys. Det är dock ofta svårt att tydligt definiera ett särskilt tillfälle när en verksamhet har infört ny teknik i sådan omfattning att den påverkar tidigare gjorda bedömningar.
I rapporten pekas också på förekomsten av bristande kravställ- ning vid upphandling och utkontraktering. I Sverige är många verk- samhetsutövare i hög utsträckning beroende av informationstekno- logi. Kraven på hur en verksamhet ska hantera sin cybersäkerhet ställs genom reglering, men de finns även i form av marknadsmässiga krav på effektivitet, kvalitet och säkerhet för att kunna upprätthålla verksamhetens konkurrenskraft. Det är svårt för vissa verksamhets- utövare att helt på egen hand uppfylla de krav som ställs på säkerhet. En lösning för dessa verksamheter kan vara att utkontraktera sina behov till en tjänsteleverantör som har bättre möjligheter att möta säkerhetskraven. Genom att utkontraktera dessa delar av verksam- heten kan verksamhetsutövarna lägga ett större fokus på sin kärn- verksamhet samtidigt som cybersäkerheten blir bättre. En utmaning
–som noteras i rapporten – är att väl beskriven kravställning är en förutsättning för en bra upphandling. Att kravställa cybersäkerhet kräver kompetens, både när det gäller anskaffning av varor, tjänster och vid utkontraktering. Det finns tillfällen där anskaffning av varor och tjänster som hanterar information med ett högt skyddsvärde har genomförts utan tillräcklig identifiering och värdering av systemets skyddsvärden. Det har skapat risker för den information eller verk- samhet som systemet hanterar, vilket innebär att krav på säkerhet i stället arbetas in i efterhand, vilket medför risk för att upphand- lingen kan behöva göras om. Även i de fall en helt ny upphandling inte behöver ske är säkerhet kostsamt och ibland svårt att arbeta in i
246
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
efterhand. Med en korrekt kravställning kan i vissa fall en utkontrak- tering av
I rapporten noteras att det kan vara svårare för kunden att ställa krav på en kontinuerlig säkerhetsnivå som följs av samtliga leveran- törer. Större tjänsteleverantörer som erbjuder sina tjänster gentemot svenska verksamhetsutövare bedriver i regel sin verksamhet i flera länder och omfattas på så vis av en annan jurisdiktion än den svenska. Det medför att utländsk lagstiftning kan bli tillämplig för de tjänster man levererar i Sverige, och den ger i vissa fall leverantören – och dess underleverantörer – rätt att ta del av information som hanteras inom ramen för den tjänst som levereras.
Irapporten påpekas att utkontraktering av
247
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
I rapporten noteras även att en vanlig form av utkontraktering sker via delade molntjänster, dvs. att en verksamhet i stället för att på egen hand investera i egen hård- och mjukvara hyr de resurser som behövs, vilket kan vara allt från enskilda applikationer till hela eller delar av efterfrågad
I rapporten påpekas att en annan samhällsutmaning är att moln- tjänsterna koncentreras till ett fåtal leverantörer. Det innebär att en hotaktör kan inhämta från eller slå ut flera samhällskritiska system samtidigt om man får tillgång till miljön. Den sammanlagda konse- kvensen för samhället av ett angrepp blir i dessa fall högre än konse- kvensen för ett angrepp mot ett enskilt system. Samtidigt kan en stor leverantör ha större resurser att fördela till sitt säkerhetsarbete, vilket kan göra dem svårare att angripa.
248
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
År 2021
Säker och kostnadseffektiv
Regeringen beslutade den 26 september 2019 att ge en särskild ut- redare i uppdrag att kartlägga och analysera statliga myndigheters behov av säker och kostnadseffektiv
Genom tilläggsdirektiv den 2 juli 2020 förlängdes utredningstiden i den del som avser att föreslå mer varaktiga former för samordnad statlig
Utredningen redogör i delbetänkandet för ett antal kartläggningar som gjorts under de senaste åren och som rör frågor om säker och kostnadseffektiv
249
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
I delbetänkandet redogörs för den första delen i kartläggningen som omfattar en enkät till 200 statliga myndigheter. I urvalet ingår myndigheterna i den statliga redovisningsorganisationen, exklusive försvarsmyndigheter, myndigheter med en värdmyndighet och små myndigheter med särskilt låg omsättning. Syftet med enkäten är att få en representativ bild av myndigheternas informationshantering och säkerhet, hur deras
I delbetänkandet redovisar utredningen kartläggningen, fallstudier av fem myndigheter och en digital workshop med 16 myndigheter.
Ikartläggningen har frågor ställts om bl.a. verksamhet, informations- säkerhet och uppgiftshantering,
Utredningen konstaterar att olika verksamheter har olika behov av säker och kostnadseffektiv
Utredningen beskriver samhällsviktig verksamhet som ett samlings- begrepp som omfattar de verksamheter, anläggningar, noder, infra- strukturer och tjänster som är av avgörande betydelse för att upp-
22S. 64 ff.
250
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
rätthålla viktiga samhällsfunktioner inom en samhällssektor. Med samhällsviktig verksamhet avses dels verksamhet som måste fungera för att inte dess bortfall ska leda till en samhällsstörning, dels verk- samhet som måste finnas för att hantera en samhällsstörning när den väl inträffar. Ett drygt
I enkäten fick myndigheterna ange om de bedriver verksamhet som kan bedömas vara samhällsviktig. 55 av 158 svarande myndig- heter (35 procent) bedömer att de bedriver samhällsviktig verksam- het, medan 100 myndigheter (63 procent) bedömer att de inte gör det. Tre myndigheter anger att de inte vet om de bedriver samhälls- viktig verksamhet.
Av kartläggningen framkommer att det finns ett visst samband mellan samhällsviktig verksamhet och storlek på myndighet. Större myndigheter bedriver i högre utsträckning samhällsviktig verksamhet jämfört med mindre myndigheter. Av svaren framgår att myndig- heternas samhällsviktiga verksamhet finns inom flera samhällssek- torer, med viss övervikt på skydd och säkerhet, offentlig förvaltning, hälso- och sjukvård och finansiella tjänster.
Av kartläggningen framkommer att en mindre andel av myndig- heterna hanterar uppgifter som kräver den högsta formen av skydd, dvs. säkerhetsskyddsklassificerad information. Flertalet av myndig- heterna (cirka 90 procent) hanterar någon form av skyddsvärd in- formation i sin verksamhet. Endast 14 av 158 myndigheter bedömer att de inte hanterar någon form av skyddsvärda eller i övrigt känsliga uppgifter, varvid olika typer av sekretessreglerade uppgifter är van- ligast förekommande liksom känsliga personuppgifter.
23Se förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åt- gärder vid höjd beredskap.
251
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
Av kartläggningen framgår att av 152 svarande myndigheter hante- rar 61 myndigheter (40 procent) säkerhetsskyddsklassificerade upp- gifter medan 85 myndigheter (56 procent) inte gör det. Större myn- digheter hanterar i högre grad säkerhetsskyddsklassificerade uppgifter jämfört med mindre myndigheter. Myndigheternas säkerhetsskydds- klassificerade uppgifter fördelar sig på olika säkerhetsskyddsklasser. Ett fåtal myndigheter anger att de inte vet om de hanterar säkerhets- skyddsklassificerade uppgifter.24 Majoriteten av myndigheterna han- terar säkerhetsskyddsklassificerad information som klassats som hemlig, konfidentiell eller begränsat hemlig. Ett fåtal myndigheter hanterar uppgifter i den högsta säkerhetsskyddsklassen. Några myn- digheter anger att de inte vet vilka säkerhetsskyddsklasser uppgifterna ligger inom, alternativt att de inte vet om de har säkerhetsskyddsklassi- ficerade uppgifter i verksamheten.
Av kartläggningen framkommer att drygt 123 myndigheter (80 pro- cent) hanterar någon form av sekretessreglerade uppgifter i övrigt i kärnverksamheten. 29 myndigheter svarar att de inte gör det och fem myndigheter vet inte om de gör det. 90 myndigheter uppger att de hanterar uppgifter med absolut sekretess, vilket ställer särskilda krav på säkerhetslösningar i
Av kartläggningen framkommer även att myndigheterna kommit olika långt i arbetet med informationssäkerhet i verksamheten. I en- käten fick myndigheterna uppskatta hur långt de kommit i sitt infor- mationssäkerhetsarbete. Detta utifrån en skala från
Av kartläggningen framgår att framgår att medianen ligger på nivå 4. Flest antal myndigheter (43 av 158 svarande) har uppskattat att de ligger på nivå 4. Det finns därefter en övervikt för nivå 2 och 3 (totalt 64 av 158 myndigheter), dvs. den något lägre nivån. 13 myndigheter har angett att de ligger på nivå 1, och 12 myndigheter att de ligger på nivå 6. Informationsklassning ingår som en del i informationssäker- hetsarbetet enligt kategori 4 i enkäten. Knappt hälften av myndig-
24S. 67 f.
25Skalan utgick från de då gällande föreskrifterna och allmänna råden för myndigheters in- formationssäkerhetsarbete (MSBFS 2016:1).
252
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
heterna har angett att de ligger på nivå
I delbetänkandet noteras att tidigare kartläggningar om myndig- heters
Utredningen noterar att Myndigheten för digital förvaltning (Digg) redovisar i sin rapport Myndigheters digitala mognad och
Utredningen konstaterar att även om svarsalternativen i Digg:s enkät skiljer sig åt jämfört med vad som redovisas i dess kartläggning är de någorlunda jämförbara. Vissa myndigheter har kommit långt i sitt informationssäkerhetsarbete, medan andra avser att påbörja arbetet inom kort eller arbetar med frågorna. En mindre andel myndigheter har inte gjort något alls på området.
Utredningen noterar att Digg:s enkät dock ger en något mer positiv bild av hur långt myndigheterna kommit i sitt arbete jämfört med utredningen enkät. I Digg:s enkät har myndigheterna även fått uppskatta hur arbetet med informationssäkerhet kommer att se ut på myndigheten år 2021 jämfört med 2019. Drygt 70 procent av myn- digheterna har svarat att de bedömer att de år 2021 kommer att ha implementerat en informationssäkerhetsstrategi eller ha en väl fun- gerande informationssäkerhetsstrategi som tillämpas fullt ut på myn- digheten, vilket skulle innebära nästan en dubblering jämfört med läget år 2019.
Utredningens kartläggning visar även att 77 procent av myndig- heterna har svarat att de utgår från en standard som stöd för ett
26Kapitel 3 i delbetänkandet.
253
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
systematiskt informationssäkerhetsarbete. Bland dessa utgår alla myn- digheter utom en från ISO 27001, vilket är en av de standarder som rekommenderas i de nya föreskrifterna från MSB. Knappt 20 procent av myndigheterna anger att de inte utgår från någon standard och sex myndigheter (4 procent) har svarat att de inte vet om de gör det.
Utredningen konstaterar att fallstudierna av de fem typmyndig- heterna bekräftar till stora delar den bild som enkätundersökningen ger avseende verksamhet, uppgifter och informationssäkerhet. Av de fem fallstudiemyndigheterna bedriver såväl en stor som en mindre myndighet samhällsviktig verksamhet, vilket ställer särskilda krav på säkerhet och
Av kartläggningen framkommer att företrädare för några fallstudie- myndigheter anser att det kan vara svårt att avgöra vilka krav på it- driftslösningar som ställs för olika typer av uppgifter som hanteras i verksamheten. Det gäller framför allt känsliga personuppgifter och uppgifter som omfattas av ett omvänt skaderekvisit, dvs. där det finns en presumtion för sekretess. För att värna säkerheten hanterar de aktuella myndigheterna denna typ av uppgifter i egen regi.
Utredningen konstaterar vidare att fallstudiemyndigheterna har kommit olika långt i sitt informationssäkerhetsarbete. Det finns ingen tydlig koppling till myndighetsstorlek. Stora myndigheter hanterar i regel en större mängd uppgifter och måste därför lägga mer tid på informationsklassificering jämfört med mindre myndigheter. En av de mindre myndigheterna pekar på att informationssäkerhetsarbetet kräver att myndigheten har egen kompetens och förmåga att arbeta med informationssäkerhet, vilket kan vara svårt att uppnå.
I utredningens enkät fick myndigheterna även besvara ett antal frågor om informationssäkerhet vid
254
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
olika steg i upphandlingsprocessen.27 Av svaren framgår att en majo- ritet av myndigheterna har påbörjat en diskussion om kravkatalog eller har en kravkatalog med säkerhetskrav på plats som används vid upphandling och för att värdera anbudssvar. Av svaren framkommer att myndigheterna inte har kommit lika långt när det gäller att veri- fiera säkerhetskrav vid leverans och driftsättning eller att verifiera kraven under avtalets giltighetstid.28
Utredningen noterar att den sammantagna bilden är att kraven på
Utredningen noterar att det kan finnas flera hinder för myndig- heter att säkerställa en säker
–svårigheter att tolka lagstiftning,
–avsaknad av relevant kompetens inom verksamheten,
–bristande informationsklassificering,
–svårigheter att hitta lösningar som möter verksamhetens krav, och
–stora kostnader för de lösningar som verksamheten kräver.
Av utredningens kartläggning framkommer att 143 myndigheter upp- ger att svårigheter att tolka lagstiftning tillsammans med bristande informationsklassificering och avsaknad av relevant kompetens inom verksamheten utgör de största hindren för säker
27MSB har gett ut en särskild vägledning om att upphandla informationssäkert (MSB1177). I vägledningen beskrivs bl.a. aktiviteter för att uppnå informationssäkerhet i upphandlingens tre steg – förbereda, upphandla och realisera.
28S. 74 f.
255
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
Utredningen noterar att när det gäller bristande informations- klassificering pågår arbete på flera myndigheter. Myndigheterna har i flera fall klassat delar av informationen, men inte all information. Bristande kompetens och resurser lyfts fram som problem i samman- hanget, men även tidsbrist anges. En myndighet anger att de saknar systemstöd för informationsklassificering. En annan myndighet menar att det är svårt att översätta informationsklassificeringen till konkreta säkerhetsnivåer i både hård- och mjukvara. Ytterligare ett problem som lyfts fram är svårigheten att informationsklassa aggregerad in- formation.
Utredningen noterar vidare att avsaknad av relevant kompetens upplevs som ett lika stort hinder för säker
Av kartläggningen framgår att det tredje största hindret som myn- digheterna ser är svårigheter att tolka gällande lagstiftning. Oklar- heter vad gäller användning av molntjänster verkar vara vanligast. Svårigheten att göra bedömningar av säkerhetsskydd lyfts också fram som ett problem av flera myndigheter, liksom oklarheter kring krav på datalagring och dataskydd. En myndighet menar att det är svårt att få en sammanhängande bild av samtliga regelverk och hur de ska tolkas beroende på vilken tjänst som ska utvärderas. En annan myn- dighet pekar på att det är svårt att få juridik, it och informations- säkerhet att mötas. Ytterligare en myndighet lyfter fram att det inte är tolkningen av lagstiftningen som är problemet, utan snarare effek- terna av tolkningen som medför svårigheter att genomföra upp- handlingar och upprätthålla en stabil
Av kartläggningen framgår även att stora kostnader för de lös- ningar som verksamheten kräver utgör ytterligare ett hinder för säker
256
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
Även svårigheter att hitta lösningar som möter verksamhetens krav upplevs som ett hinder. När fler tjänster blir molnbaserade blir det svårare att hitta lösningar som uppfyller säkerhetskraven. Hårda säkerhetskrav påverkar i sig möjligheterna att nyttja billigare och effektiva
Andra hinder för säker
Utredningen har också undersökt vilka hinder som myndighe- terna ser för att kunna upprätthålla en kostnadseffektiv
257
Offentliga utredningar och myndighetsrapporter |
SOU 2021:63 |
Struktur för ökad motståndskraft (SOU 2021:25)
Regeringen beslutade 2018 att tillsätta en utredning som ska ana- lysera och föreslå en struktur för ansvar, ledning och samordning inom civilt försvar på central, regional och lokal nivå.29 En viktig del av att stärka det civila försvaret är att skapa tydliga lednings- och ansvarsförhållanden för att åstadkomma samordning såväl inom det civila försvaret som mellan det civila och det militära försvaret, Denna struktur ska också stärka samhällets krisberedskap.
Utredningen lämnade sitt betänkande Struktur för ökad motstånds- kraft (SOU 2021:25) i mars 2021. Utredningen föreslår att samver- kansområdena avvecklas och ersätts av tio beredskapssektorer och fyra särskilda beredskapsområden. I dessa ingår myndigheter med ansvar för verksamheter och funktioner som är särskilt viktiga att upprätthålla under kris, höjd beredskap och ytterst i krig. En myn- dighet i varje beredskapssektor föreslås få ett mandat att inrikta och samordna arbetet inom sektorn, en sektorsansvarig myndighet. Ut- redningens definition av begreppet samhällsviktig verksamhet är att med detta avses verksamhet, tjänst eller infrastruktur som upprätt- håller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet. Med stöd av definitionen har utredningen identifierat vilka statliga myndigheter som ansvarar för samhällsviktig verksamhet och därefter samman- fört myndigheter med ansvar inom samma samhällssektor. Utred- ningen föreslår att tio sådana beredskapssektorer inrättas med var sin sektorsansvarig myndighet. Med en indelning av statliga myndig- heter i sektorer skapas – enligt utredningen – en organisatorisk platt- form för såväl planering som operativ hantering av fredstida kriser, höjd beredskap och ytterst krig. I princip samtliga viktiga samhälls- funktioner är direkt beroende av el, vatten och elektroniska kom- munikationer. På samma sätt är de flesta beroende av transporter och fungerande betalningssystem. Arbetet i respektive beredskapssektor ska skapa förutsättningar för att kunna upprätthålla den samhälls- viktiga verksamheten under svåra påfrestningar och därigenom stärka samhällets säkerhet. Det gemensamma arbetet i sektorerna ska bidra till ökad försvarseffekt i händelse av ett väpnat angrepp och en god förmåga att hantera fredstida kriser. Myndigheterna inom beredskaps- sektorerna ska arbeta tillsammans. Samtidigt betonar utredningen vik-
29Dir. 2018:79.
258
SOU 2021:63 |
Offentliga utredningar och myndighetsrapporter |
ten av samverkan mellan sektorerna. Sektorerna är ömsesidigt bero- ende av varandra.
Utredningen har – utöver de tio föreslagna sektorerna med sek- torsansvariga myndigheter – identifierat fyra särskilda beredskaps- områden som ska ses som en del av beredskapssystemet. Enligt ut- redningen är verksamheterna av en sådan karaktär att de inte kan utgöra beredskapssektorer med en sektorsansvarig myndighet. Några av dessa områden omfattar enbart en myndighet och i några av verk- samheterna ingår myndigheter utanför det civila försvaret såsom För- svarsmakten och Försvarets radioanstalt (FRA). Samtidigt fyller dessa verksamheter en viktig funktion i beredskapssystemet som hel- het, bl.a. cybersäkerhet.
Utredningen framhåller att den delar Försvarsberedningens be- dömning att ett systematiskt arbete med informations- och cyber- säkerhet spelar en avgörande roll för att en trovärdig totalförsvars- förmåga ska kunna uppnås. Detta gäller såväl hos staten, kommuner, regioner och näringsliv. Det behöver finnas en nationell funktion med uppgift att stödja myndigheter och samhället i övrigt i arbetet med att förebygga och hantera angrepp inom informations- och kom- munikationsområdet samt upprätthålla en aktuell lägesbild över sam- hällets digitala miljö. Verksamheten är viktig för det civila försvaret. Utredningen föreslår att cybersäkerhet ska vara ett särskilt bered- skapsområde. Utredningen bedömer att det inte är möjligt att före- slå verksamheten som en beredskapssektor eftersom både Försvars- makten och FRA ingår i arbetet med cybersäkerhetscentret samt att regeringen hittills inte har pekat ut någon samordnande myndighet för cybersäkerhetsområdet. Det finns i dag ett etablerat samarbete och samverkan mellan myndigheterna inom cybersäkerhetsområdet genom bl.a. Samverkansgruppen för informationssäkerhet (SAMFI). Formerna för samverkan med de föreslagna beredskapssektorerna kommer att behöva byggas upp när dessa etablerats. Det behöver även etableras samverkansformer med de övriga tre särskilda bered- skapsområdena.
Betänkandet är föremål för remissbehandling under utredningens arbete med detta slutbetänkande och remissinstansernas synpunkter har därför inte kunnat beaktas inom ramen för detta arbete.
259
9 Internationell utblick
9.1Inledning
När det gäller utredningens uppdrag att överväga om det bör införas ytterligare krav på certifiering och godkännande till skydd för Sveriges säkerhet ingår att göra en internationell jämförelse. Jämförelsen ska avse lagstiftning som innebär särskilda krav med anledning av natio- nell säkerhet för
Arbetet har bedrivits främst genom undersökning av lagstiftning och i förekommande fall förarbeten samt övrig information från officiella webbplatser. Vad gäller materialinsamlingen bör beaktas att materialet funnits tillgängligt på originalspråk, i något fall komplet- terat av mer eller mindre officiella översättningar till engelska. Skriftliga frågor har ställts till nationella myndigheter i de undersökta länderna (se den formella skrivelsen i bilaga 3 till betänkandet) och svar har inkommit från merparten av de kontaktade myndigheterna. I ett par fall har de skriftliga svaren även kompletterats med uppgifter som lämnats vid digitala möten med företrädare för myndigheterna.1
Avsnitten för respektive land inleds med en beskrivning av cen- trala aktörer med särskilt ansvar för nationell informations- och cyber- säkerhet. Efter denna redovisning av organisation m.m. redogörs för landets arbete med att stärka informations- och cybersäkerheten, med fokus på särskilda krav på godkännande och/eller certifiering av IKT i säkerhetskänslig verksamhet. En sammanfattning av sådana krav
1Australien och Nya Zeeland har emellertid inte inkommit med svar inom angiven tidsfrist. Utredningen har haft digitala möten med Nasjonal sikkerhetsmyndighet i Norge och Traficom i Finland (se nedan).
261
Internationell utblick |
SOU 2021:63 |
i andra länder lämnas också i kapitel 12 och 13. I de fall där den natio- nella regleringen är omfattande och/eller behandlar flera relevanta områden överlappande sammanfattas de särskilda kraven även i före- varande kapitel.
Det kan inledningsvis noteras att vissa länder i sin reglering av informationssäkerhet gör en tydlig distinktion mellan samhällsviktig och säkerhetskänslig verksamhet medan somliga nationella system behandlar kritisk infrastruktur och nationell säkerhet tillsammans. Vidare tillskriver länder dessa begrepp olika betydelser. I vissa länder definieras nationell säkerhet i författning medan somliga inte har någon vedertagen definition eller premierar annan begreppsanvänd- ning på området. I flera länder använder man begreppet kritisk infra- struktur i stället för samhällsviktig verksamhet. Också användningen av tekniska termer varierar något mellan länderna, t.ex. i fråga om it- respektive
De flesta länderna har bestämmelser om informationssäkerhet som reglerar klassificeringen av skyddsvärd information, vilket motsvarar det svenska klassificeringssystemet i säkerhetsskyddslagen. Det före- ligger emellertid inte full överensstämmelse mellan antalet klassificer- ingsnivåer.2 När begreppet klassificerad (”Classified”) används avses i första hand skyddsvärd information.
Även om vissa säkerhetsskyddsrättsliga skillnader mellan länderna kan identifieras framgår inte av den öppet tillgängliga information som utredningen samlat in från andra länder närmare hur den fak- tiska tillämpligheten ser ut i respektive land och därmed inte heller i vilken utsträckning det i praktiken förekommer undantag från ord- ningarna och speciallösningar.
9.2Finland
Aktörer inom informations- och cybersäkerhet
Transport- och kommunikationsverket (Traficom)
Det finska transport- och kommunikationsverket Traficom är en myndighet som ansvarar för nationella frågor som gäller tillstånd, registrering och övervakning inom trafik, transport och kommuni- kation. Verket främjar bl.a. cybersäkerheten i landet.
2Detta kan bl.a. skapa utmaningar när det gäller att dela skyddsvärd information mellan länder.
262
SOU 2021:63 |
Internationell utblick |
Nationellt cybersäkerhetscenter
Vid Traficom finns Finlands cybersäkerhetscenter.3 Centret bedriver bl.a. verksamhet för nationell informations- och kommunikations- säkerhet
Vidare kan det nationella cybersäkerhetscentret bevilja det s.k. Cybersäkerhetsmärket som visar att en produkt eller tjänst som för- setts med märket uppfyller kraven på informationssäkerhet. Märket används i smarta konsumentprodukter som kan ansluta till internet, s.k.
Centret har även en
3Cybersäkerhetscentret är en del av Traficom med vissa självständiga funktioner som styrs av lag.
4Ett kommunikationsnät är ett system för överföring av signaler som används för att tillhanda- hålla tillgängliga elektroniska kommunikationstjänster. Elektroniska kommunikationstjänster utgörs av överföring av signaler i elektroniska kommunikationsnät.
5I juni 2020 lämnade den finska regeringen en proposition till riksdagen med förslag till för- fattningsändringar bl.a. med anledning av EU:s cybersäkerhetsakt (RP 98/2020 rd). I denna utnämns Cybersäkerhetscentret vid Traficom till nationell myndighet för cybersäkerhetscerti- fiering enligt cybersäkerhetsakten, både vad avser uppgiften att bevilja cybersäkerhetscertifier- ing och utövandet av tillsyn.
6Traficom definierar förfaringssätt för testningen. Standarden ETSI EN 303645, som beskri- ver grundläggande cybersäkerhetskrav på IoT, utgör här grunden varav Traficom valt ett antal krav att tillämpas.
7Utöver allmän information om informationssäkerhet kan
8Security Accreditation Authority.
263
Internationell utblick |
SOU 2021:63 |
bedömning och godkännande av informationssystem som behandlar säkerhetsklassificerad information. Tjänsterna erbjuds åt myndigheter och företag som behandlar nationellt eller internationellt säkerhets- klassificerad information.
Övriga säkerhetsmyndigheter
Utrikesministeriet har det samlade ansvaret för internationella för- pliktelser som gäller informationssäkerhet. Utrikesministeriet är den nationella säkerhetsmyndigheten (NSA)9 som styr den nationella verksamheten i dessa frågor och bl.a. ansvarar för beredningen av inter- nationella säkerhetsavtal samt övervakar att internationellt särskilt känslig information skyddas och hanteras korrekt.
Försvarsministeriet, Huvudstaben och Skyddspolisen är övriga ut- sedda säkerhetsmyndigheter (DSA)10.
Nationell cybersäkerhetsstrategi och cybersäkerhetsdirektör
2013 antog Finland en nationell cybersäkerhetsstrategi.11 Målsättningar med strategin är bl.a. att främja samverkan på området mellan dels myndigheter och andra aktörer, dels internationellt, samt att för- bättra lägesbilden respektive kunskapen i fråga om cybersäkerheten. Att stärka förmågan att avvärja cyberhot mot samhällsviktig verk- samhet är ett annat mål.
Den nationella cybersäkerhetsstrategin uppdaterades 2019 och inkluderade då inrättande av en nationell cybersäkerhetsdirektör. Upp- draget som statens cybersäkerhetsdirektör grundar sig på ett princip- beslut som statsrådet godkände 2019, som en del av den nationella cybersäkerhetsstrategin. Enligt strategin ska cybersäkerhetsdirektören samordna utvecklingen, planeringen och beredskapen i fråga om cyber- säkerheten. De tre strategiska riktlinjerna i principbeslutet är interna- tionellt samarbete, ledning av cybersäkerhet, förbättrad samordning av planering och beredskap samt utveckling av kompetens inom cyber- säkerhet.
9National Security Authority.
10Designated Security Authority. Traficom har också
11Se
264
SOU 2021:63 |
Internationell utblick |
Förverkligandet av den nationella cybersäkerheten anknyter till Säkerhetsstrategin för samhället (2017) och till de i strategin beskrivna allmänna principerna om samordning av beredskapen och säkerhe- ten. Strategin och genomförandet av den är också ett led igenom- förandet av EU:s cybersäkerhetsstrategi. Den nationella cybersäker- hetsstrategin ska såväl granskas som utvärderas kontinuerligt.12
Övergripande reglering av informationssäkerhet
Lagen om informationshantering inom den offentliga förvaltningen (906/2019) beskriver de minimikrav på informationssäkerhet som ska iakttas inom den offentliga förvaltningen. I lagen om tjänster inom elektronisk kommunikation (917/2014) finns angivet vissa av Traficoms uppgifter samt skyldigheter för kommunikationsförmed- lare att sörja för informationssäkerhet.13
Enligt lagen om bedömning av informationssäkerheten i myndig- heternas informationssystem och datakommunikation (1406/2011) har Traficom till uppgift att på begäran göra bedömningar av överens- stämmelse med kraven på informationssäkerhet i informationssystem och datakommunikation som en myndighet innehar eller planerar att anskaffa. Statliga myndigheter får, för bedömning av informa- tionssäkerheten i sina informationssystem och sin datakommunika- tion, bara använda sig av det förfarande som anges i lagen (Traficoms bedömning) eller av ett sådant bedömningsorgan som har godkänts av Traficom enligt lagen om bedömningsorgan för informationssäkerhet (1405/2011). Traficom gör utredningar om nivån på informations- säkerheten och utfärdar även intyg som visar att informationssyste- met eller datakommunikationen godkänts. Bedömningsgrunderna för informationssäkerheten utgörs bl.a. av EU:s bestämmelser om informationssäkerhet eller informationssäkerhetskrav i en fastställd
12De nationella arrangemangen för cybersäkerhetsarbetet i Finland är för närvarande under granskning och kommer sannolikt att genomgå förändringar inom en snar framtid. Landet har två nyligen utvecklade program för cybersäkerhet som är relaterade till målet att förbättra cybersäkerheten: rapporten Tietoturvan ja tietosuojan parantaminen yhteiskunnan kriittisillä toimialoilla och Digital säkerhet inom den offentliga förvaltningen – Genomförandeplan Haukka
13Traficom får bl.a. meddela föreskrifter om kvalitetskrav på kommunikationsnät och kom- munikationstjänster, om informationssäkerhet och om kompatibilitet gällande klassificering i viktighetsordning och säkrande, om elektroniskt och fysiskt skydd av kommunikationsnät och tillhörande utrustningsutrymmen samt om standarder som ska iakttas respektive andra jämförbara tekniska krav på kommunikationsnät och kommunikationstjänster.
265
Internationell utblick |
SOU 2021:63 |
standard. Bedömningen av informationssystemen ska göras i enlig- het med nu nämnda lagar (1406/2011 respektive 1405/2011).
Lagen om bedömningsorgan för informationssäkerhet (1405/2011) innehåller bestämmelser om ett förfarande genom vilket företag till- förlitligt kan visa en utomstående att de i sin verksamhet sörjt för en viss informationssäkerhetsnivå. Enligt lagen godkänner Traficom be- dömningsorganen för informationssäkerhet och övervakar deras verk- samhet. Den i lagen angivna ackrediterings- och bemyndigandeproces- sen avseende organen för bedömning av överensstämmelse motsvarar i allt väsentligt vad som anges i EU:s cybersäkerhetsakt. Kraven på dessa organ är dock delvis annorlunda, vilket betyder att ett organ för be- dömning av överensstämmelse enligt den nationella lagen inte får ställning som ett organ för bedömning av överensstämmelse enligt
När det gäller behovet att använda cybersäkerhetscertifiering har verksamhetsutövaren själv att göra en riskbedömning och vidta åt- gärder för att nå en tillräckligt säker nivå. Även andra sätt än certi- fiering kan användas för att uppnå tillräcklig säkerhet.
Särskilda krav på IKT i säkerhetskänslig verksamhet
I den nyss nämnda lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011) delegeras en rätt till statsrådet att föreskriva att en myndighet är skyldig att skaffa ett intyg om godkännande från Traficom i fråga om infor- mationssystem där säkerhetsklassificerade handlingar behandlas (8 a §).15 Detta gäller handlingar som hör till säkerhetsklass I eller II, dvs. på de två högsta nivåerna (av fyra) där störst skada för nationell säkerhet riskeras.16 Den som önskar ett intyg om godkännande ska för- binda sig att upprätthålla informationssäkerhetsnivån och ge Traficom
14Se prop. RP 98/2020 rd s. 110.
15Några nationella krav på certifiering av sådana system har dock inte framkommit.
16Indelning i säkerhetsklass I ska ske om obehörigt röjande eller obehörig användning av sek- retessbelagda uppgifter i handlingen kan orsaka särskilt stor skada för försvaret, för för- beredelser inför undantagsförhållanden, för internationella relationer, för brottsbekämpningen, för den allmänna säkerheten eller för stats- och samhällsekonomins funktion, eller på något annat jämförbart sätt för Finlands säkerhet. Säkerhetsklass II aktualiseras om röjande eller användning kan orsaka betydande skada för ett sådant skyddat intresse som anges ovan. Det finns ytterligare två säkerhetsklasser som kan komma i fråga vid risk för skada respektive lindrig skada för skyddade intressen.
266
SOU 2021:63 |
Internationell utblick |
tillträde till informationssystemen för utredning. Den nu nämnda föreskriftsrätten har emellertid aldrig utnyttjats, vilket innebär att det i nuläget inte är obligatoriskt att skaffa godkännande för informa- tionssystem i säkerhetskänslig verksamhet. I stället kan verksamhets- utövare frivilligt ansöka om ett sådant intyg. Eftersom förfarandet är frivilligt är något sanktionssystem inte knutet till det.17
Statsrådets förordning om säkerhetsklassificering av handlingar inom statsförvaltningen (1101/2019) innehåller bestämmelser om säkerhets- klassificering av skyddsvärda handlingar och om informationssäkerhets- åtgärder som gäller behandlingen av sådana handlingar. I förordningen uppställs vissa säkerhetskrav på informations- och datakommunika- tionssystem som används för behandling av säkerhetsklassificerade handlingar.18
9.3Norge
Aktörer inom informations- och cybersäkerhet
Ansvariga departement
I Norge har Justitie- och beredskapsdepartementet ett särskilt ansvar för nationell cybersäkerhet i den civila sektorn och ska forma reger- ingens politik för cybersäkerhet, inklusive upprättande av nationella krav och rekommendationer för offentliga och privata verksamheter. Försvarsdepartementet har det yttersta ansvaret för cybersäkerheten i försvarssektorn.19
Nasjonal sikkerhetsmyndighet (NSM)
Nasjonal sikkerhetsmyndighet (NSM) är en sektorsövergripande expert- och tillsynsmyndighet inom nationell säkerhet. NSM är underord- nat Justitie- och beredskapsdepartementet och den ledande aktören i landet på informations- och cybersäkerhetsområdet. NSM tar emot anmälningar om allvarliga cyberattacker mot samhällsviktig verksam- het och
17Inom social välfärd och hälsovård.
18Bl.a. ska säkra krypteringslösningar användas.
19Departementen har ett brett spektrum av instrument för att ta hand om sitt respektive ansvar för cybersäkerhet, bl.a. genom utveckling av regelverk och kunskap, tillsynsverksamhet och rådgivning respektive vägledning.
267
Internationell utblick |
SOU 2021:63 |
departement.20 NSM ger vidare information, råd och vägledning om förebyggande säkerhetsarbete. NSM utövar certifieringsverksamhet avseende
Nasjonalt cybersikkerhetssenter (NCSC)
Nasjonalt cybersikkerhetssenter (NCSC) är en avdelning som ingår i NSM och har till uppgift att stärka landets motståndskraft och be- redskap i den digitala domänen. Verksamheten bedrivs i nära sam- arbete med operatörer av infrastruktur och övriga aktörer i närings- livet.
NCSC hjälper till att skydda grundläggande nationella funktio- ner, offentlig förvaltning och företag mot cyberattacker. Centret ger råd och rekommendationer till såväl statliga myndigheter som privata företag, bl.a. när det gäller hantering av cyberattacker, samt uppställer informationssäkerhetskrav för IKT. Dessutom erbjuder centret en rad tekniska informationssäkerhetstjänster,22 och det producerar även en gemensam lägesbild.
20NSM får riktlinjer från både Justitie- och beredskapsdepartementet och Försvarsdepartementet på deras respektive områden.
21NSM har cirka 300 anställda.
22Se bl.a. NSM:s grundprinciper för
23Certifieringen baseras på standardiserade krav och metoder som är internationella erkända, som Common Criteria.
24Med tekniska säkerhetstjänster avses ett antal för samhället centrala strategiska tjänster som NSM erbjuder till samhällets aktörer. Dessa är för det stora flertalet frivilliga men för de aktörer som omfattas av landets säkerhetsskyddslag obligatoriska, exempelvis ansvaret för natio- nella certifieringslösningar.
268
SOU 2021:63 |
Internationell utblick |
Centrets huvudsakliga operativa uppgifter kommer till uttryck genom
Nationellt certifieringsmyndighet för
Den nationella säkerhetsmyndigheten NSM har ansvar att vara cer- tifieringsmyndighet för
Utöver att driva den Common
Nationell cybersäkerhetsstrategi
Norge antog en ny nationell cybersäkerhetsstrategi 2019.28 Med stra- tegin vill regeringen skapa en gemensam grund för att hantera digitala säkerhetsutmaningar. Vidareutvecklingen av strategin base- ras på behovet av ett stärkt
25Norwegian Computer Emergency Response Team (NorCERT) är en funktion i NCSC som ansvarar för Norges nationella
26VDI drivs av NCSC och består av sensorer som används för verksamheter inom Norges kritiska infrastruktur. VDI är ett slags digitalt inbrottslarm som utlöses vid misstänkt aktivitet i nätverket.
27NSM är även certifikatutgivare under
28Se
29Strategin identifierar att också cyberattacker mot civil infrastruktur kan utmana landets för- måga att skydda nationell säkerhet.
269
Internationell utblick |
SOU 2021:63 |
Sektorslagstiftning
Norge har inte genomfört
I Norge finns ett flertal författningar om cybersäkerhet som gäller olika sektorer, däribland regleringar om användning av IKT i finans- sektorn
Informations- och cybersäkerhet inom nationell säkerhet
Nationell säkerhet
INorge finns en lag om nationell säkerhet (sikkerhetsloven, LOV-
Varje nationellt säkerhetsintresse avser grundläggande nationella funktioner. Dessa funktioner är tjänster, produktion och andra typer av aktiviteter som är så viktiga att en helt eller delvis förlust av funk- tionen skulle få allvarliga konsekvenser för nationella säkerhets- intressen.
Departementen och NSM ska inom sina respektive ansvarsom- råden peka ut, klassificera och övervaka skyddsvärda infrastrukturer och objekt. Vid denna klassificering i enlighet med säkerhetslagen ska tonvikt läggas på i vilken utsträckning grundläggande nationella funktioner beror på den aktuella infrastrukturen eller objektet samt den berörda aktörens skadebedömning.
Säkerhetslagen gäller för:
–alla statliga myndigheter (och motsvarande) och kommuner,
–efter beslut av ansvarigt departement,32 för privata aktörer som hanterar klassificerad information, informationssystem, föremål
30Se
31”Nasjonale sikkerhetsinteresser”.
32Varje departement pekar således ut grundläggande nationella funktioner och identifierar verksamheter som är av avgörande betydelse för dessa funktioner.
270
SOU 2021:63 |
Internationell utblick |
eller infrastruktur, eller deltar i aktiviteter som är av avgörande betydelse för grundläggande nationella funktioner, och
–privata tillhandahållare av varor eller tjänster som kan medföra till- gång till klassificerad information eller kritiska objekt respektive infrastrukturer.33
Information, informationssystem, infrastruktur och objekt som om- fattas av lagen ska förses med en lämplig nivå av säkerhet. Skydds- åtgärder ska identifieras utifrån en riskbedömning och med beaktande av tillämplig klassificeringsnivå.
Krav på evaluering och certifiering
I en föreskrift om verksamheters arbete med förebyggande säkerhet, virksomhetsikkerhetsforskriften
I nu nämnda föreskrift finns en allmän bestämmelse om evaluer- ing respektive certifiering. När en verksamhet väljer säkerhetsåtgär- der ska den använda evaluerade produkter och tjänster om dessas funktion är avgörande för att personer inte obefogat ska få tillgång till hemlig eller kvalificerat hemlig information och inte heller ska kunna påverka driften av kritisk infrastruktur. Evalueringen ska ske genom metodisk utveckling och testning av produkten eller tjänsten och vara verifierbar. Evalueringen ska utföras av den nationella säker- hetsmyndigheten, NSM, eller ett ackrediterat laboratorium som ut- setts av NSM (16 §).35 Kraven på evalueringen kan uppfyllas genom en certifiering utfärdat av NSM eller ett ackrediterat certifierings-
33Lagen ger kungen rätt att föreskriva om skyddsvärda informationssystem, utpekande av godkännandemyndigheter och krav för leverantörer.
34Ansvarigt departement är Justitie- och beredskapsdepartementet.
35Av NSM:s handbok framgår att behövliga säkerhetsåtgärder ska evalueras och certifieras i enlighet med NSM:s krav. NSM utgår från
271
Internationell utblick |
SOU 2021:63 |
organ som utsetts av NSM.36 NSM kan vidare godkänna använd- ningen av produkter och tjänster som har evaluerats eller certifierats i andra länder (17 §).
Krav på godkännande av informationssystem
För att kunna använda informationssystem som antingen behandlar säkerhetsklassificerad information eller är av avgörande betydelse för grundläggande nationella funktioner ska en godkännandemyn- dighet bedöma om kraven på säkerhet i systemen är uppfyllda och meddela beslut om godkännande.
Säkerhetsåtgärder som skyddar ett informationssystem ska ha en acceptabel risk- och säkerhetsnivå för att erhålla ett säkerhetsgod- kännande. För informationssystem som hanterar säkerhetsklassifi- cerad information ska säkerhetsgodkännandet beslutas innan systemet kan tas i drift
Säkerhetsåtgärder definieras i närmare detalj i föreskrifter som meddelats med stöd av säkerhetslagen och i allmänna råd som utfär- dats av NSM. De åtgärder som ska vidtas differentieras av klassificer- ingsnivån för informationen som behandlas i informationssystemet, eller systemets klassificeringsnivå när själva systemet är att bedöma som infrastruktur av avgörande betydelse för grundläggande natio- nella funktioner.
När en verksamhet beslutat att utveckla ett skyddsvärt informa- tionssystem ska den informera NSM. Skyldigheten att lämna infor- mation gäller dock bara om NSM behöver godkänna systemet. I annat fall måste verksamhetsutövarna se till att informationssystem som ska behandla säkerhetsklassificerad information är godkända innan de används. Andra skyddsvärda informationssystem ska god- kännas så snart som möjligt (50 § virksomhetsikkerhetsforskriften).37
Verksamhetsutövaren ska dokumentera att den bedömt och han- terat risken på ett tillfredsställande sätt och i samband med detta
36NSM ställer således krav på aktörer som utför certifiering och utvärdering av produkter och tjänster. Ackreditering av laboratorier och certifieringsorgan ska ske i enlighet med ISO- och
37Det är verksamhetsutövaren som har att täcka kostnaderna för godkännandet.
272
SOU 2021:63 |
Internationell utblick |
–identifiera behovet av skydd utifrån informationssystemets funk- tion och driftsmiljö,
–fastställa säkerhetskrav baserade på behovet av skydd,
–etablera säkerhetsåtgärder som uppfyller säkerhetskraven under informationssystemets livstid, och
–kontrollera att säkerhetsåtgärderna fungerar som avsett.
Om verksamheter hanterar särskilt skyddsvärd information och säkerhetsklassificerade uppgifter ska åtgärderna säkerställa att infor- mationen inte med enkla medel går förlorad, ändras eller görs oåtkomlig och inte heller kan offentliggörs för obehöriga. Om risken motiverar det måste informationen också skyddas mot avancerade attackmeto- der. När det gäller konfidentiell, hemlig eller kvalificerat hemlig in- formation förutsätter en tillräcklig säkerhetsnivå att obehöriga inte obemärkt kan komma åt informationen.
NSM genomför kontroller och utövar tillsyn38 över efterlevnaden av säkerhetslagen. NSM ska på förhand godkänna informationssystem som behandlar säkerhetsklassificerad information och vilka
–ska användas utomlands eller har anslutning utanför den egna verk- samheten,
–har användare som inte är säkerhetsgodkända för rätt nivå, re- spektive
–bearbetar kvalificerat hemlig (”strengt hemmelig”) eller hemlig information.
NSM godkänner vidare skyddsvärda informationssystem som är ut- pekade som, eller har avgörande betydelse för, infrastruktur eller objekt klassificerade som mycket kritiska eller kritiska.
Godkännandet av ett skyddsvärt informationssystem innefattar en planerad och systematisk granskning av om verksamheten upp-
38Tillsyn enligt lagen kan också utföras av sektorsmyndigheter efter beslut av berört departe- ment. Som tidigare berörts ger NSM även verksamheter vägledning om identifiering av risker och sårbarheter. Om behövliga säkerhetsåtgärder inte vidtagits kan NSM förelägga verksam- hetsutövaren att åtgärda bristerna, t.ex. en undermålig riskanalys, vid äventyr av vite. Admini- strativa sanktioner är en annan ingripandemöjlighet som står till buds vid överträdelser. I sista hand anmäler NSM brott mot säkerhetsregleringen till Politiets sikkerhetstjeneste en varpå en process förs vid domstol.
273
Internationell utblick |
SOU 2021:63 |
nått en rimlig säkerhetsnivå.39 Processen utgörs av en dokumentations- genomgång som bl.a. tar fasta på om och hur
Även kryptosystem som ska användas för att skydda säkerhets- klassificerad information ska godkännas av NSM. Kraven på beslut av NSM om förhandsgodkännande av informationssystem gäller så- ledes även på försvarsområdet.40 Som en del av godkännandeprocessen finns som sagt också krav på evaluering av komponenter (se ovan).
Behörigt departement kan bestämma att godkännande av infor- mationssystemet ska göras av en tillsynsmyndighet. Vidare kan NSM bestämma att en tillsynsmyndighet eller verksamhetsutövare ska god- känna berört informationssystem. En verksamhetsutövare som har ett skyddsvärt informationssystem och som inte omfattas av nämnda krav på förhandsgodkännande ska godkänna systemet själv (51 §).41
Överträdelser av skyldigheterna enligt säkerhetslagen är straffbe- lagda. Till detta kommer att NSM har ett antal undersöknings- befogenheter och möjlighet att besluta åtgärdsföreläggande vid vite.
Kontaktpersoner på NSM har framfört att en av de största för- delarna med det nationella godkännandeförfarandet är att det skapar en minimistandard för kontroll av säkerhet och mer enhetliga säker- hetskrav hos verksamhetsutövarna på de aktuella nivåerna. Vidare anser man att då det rör sig om de största riskerna för nationell säker- het finns ett större behov av en oberoende tredjepartsbedömning (av en central myndighet).
39Om det finns ett särskilt behov av att använda ett skyddsvärt informationssystem innan det godkänts kan godkännandemyndigheten bevilja ett tillfälligt tillstånd vid behov och om det finns särskilda skäl.
40NSM har alltså ansvar för godkännanden inom samtliga sektorer. Försvaret har flest system som behandlar säkerhetsklassificerad information och är den sektor som har störst behov av NSM:s godkännanden.
41NSM och relevanta tillsynsmyndigheter ska informeras om sådana informationssystem.
274
SOU 2021:63 |
Internationell utblick |
9.4Danmark
Aktörer inom informations- och cybersäkerhet
Nationellt cybersäkerhetscenter
Center for Cybersikkerhed är Danmarks nationella
Cybersäkerhetscentret tillhandahåller en nätverkssäkerhetstjänst som innefattar analys och hantering av säkerhetsincidenter hos myn- digheter och företag som anslutit sig till tjänsten. Centret har distri- buerat intrångsdetekteringssystem för ett antal nätverk i verksamheter som avser kritisk infrastruktur och där känslig myndighetsinfor- mation förekommer, inklusive försvar. De högsta statliga organen och myndigheterna kan på begäran anslutas till tjänsten. Regioner, kommuner och företag inom samhällsviktig verksamhet kan anslutas till tjänsten om centret bedömer att det kommer att bidra till en högre nivå av informationssäkerhet i samhället.42 Centret övervakar också nätkommunikationen i samhällsviktig verksamhet och kritisk infrastruktur.
Säkerhets- och underrättelsetjänst
Den danska säkerhets- och underrättelsetjänsten, Politiets Efterret- ningstjeneste (PET), är ansvarig för att identifiera, förhindra, utreda och svara på hot mot friheten, demokratin och säkerheten i det danska samhället. PET ger rådgivning inom ett antal områden, däribland informationssäkerhet.
42Försvarsministeriet kan fastställa närmare regler om villkoren för anslutning samt föreläg- ganden om medverkan (vid äventyr av böter).
275
Internationell utblick |
SOU 2021:63 |
Reglering av informations- och cybersäkerhet
Allmänt
Graden av digitalisering i Danmark är mycket hög. I landet finns ingen nationell övergripande säkerhetslagstiftning. Det finns emellertid en regeringsförordning som reglerar informationssäkerhet inom stat- liga myndigheter samt särskilda krav på säkerhet i nätverks- och infor- mationssystem i vissa sektorer (se nedan).
Nationell cybersäkerhetsstrategi
Danmark har antagit en nationell strategi för informations- och cyber- säkerhet för åren
–telekommunikation,
–hälsa,
–energi,
–ekonomi,
–sjöfart, och
–transport.44
Med den nationella strategin har det således blivit ett krav att en dedikerad informations- och cybersäkerhetsenhet skapas för var och en av de kritiska sektorerna i samhället – och central finansiering ges för detta. Varje sektor måste utveckla en specifik strategi med hän- syn till de specifika hot och sårbarheter som gäller i sektorn. Sektors-
43Se
44Samtliga sektorer förutom telekommunikation täcks av
276
SOU 2021:63 |
Internationell utblick |
strategierna ska godkännas av en central statlig kommitté. Respektive sektor har vidare inrättat en decentraliserad cyber- och informations- säkerhetsenhet (DCIS).45
Cybersäkerhetscentrets befogenheter
Bekendtgørelse af lov om Center for Cybersikkerhed är en lag som reglerar det nationella cybersäkerhetscentrets uppgifter och befogen- heter. Bl.a. får centrets nätverkssäkerhetstjänst, utan föregående dom- stolsbeslut, behandla en mängd olika uppgifter som härrör från be- rörda organisationer samt vidta diverse utredningar.
Informationssäkerhet hos myndigheter i säkerhetskänslig verksamhet
Det finns en regeringsförordning (”sikkerhedscirkulæret”) som regle- rar informationssäkerhet inom statliga myndigheter, inklusive krav på ackreditering av informationssystem som används för klassifi- cerad information. Sådana system kan vara föremål för certifiering och/eller godkännande. Ärenden som rör nationell säkerhet samord- nas av en ministerkommitté för säkerhet medan hanteringen av större cyberincidenter samordnas av cybersäkerhetscentret.
Säkerhet i nätverk och informationssystem i vissa sektorer
Lov om sikkerhed i net- og informationssystemer i transportsektoren (LOV nr 441,
45Den danska näringsmyndigheten och Rådet för Digital Sikkerhed har inlett en säkerhets- kontroll baserad på standarden ISO 27001 som genererar en översikt och riktmärke för före- tags digitala säkerhet och riktlinjer för hur man kan förbättra den.
277
Internationell utblick |
SOU 2021:63 |
I 3 kap. 5 § Bekendtgørelse om sikkerhed i net- og informationssyste- mer i transportsektoren (verkställande order: BEK nr 1042,
Bekendtgørelse om sikkerhed i net- og informationssystemer af betyd- ning for skibes sikkerhed og deres sejlads (verkställande order: BEK nr 46,
Sammanfattning av särskilda krav på IKT i säkerhetskänslig verksamhet
I Danmark finns krav på cybersäkerhetscertifiering i fråga om säker- heten i nätverks- och informationssystem främst i vissa sektorer (såsom transport och sjöfart). För statliga myndigheter finns också krav på ackreditering av informationssystem som används för skydds- värd information. Sådana system kan vara föremål för certifiering och/ eller godkännande.
278
SOU 2021:63 |
Internationell utblick |
9.5Nederländerna
Aktörer inom informations- och cybersäkerhet
Justitiedepartementet och nationellt cybersäkerhetscenter
Justitie- och säkerhetsdepartementet, Ministerie van Justitie en Veiligheid, har det övergripande ansvaret för informationssäkerheten i Nederländerna.
Nederländerna har valt att samla huvuddelen av sin
NCSC:s lagstadgade uppgifter på cybersäkerhetsområdet anges i den nationella lagen om säkerhet i nätverk och informationssystem (Wet beveiliging netwerk- en informatiesystemen, Wbni). Centret tar fram olika riktlinjer för
Myndigheter och organisationer inom samhällsviktig sektor är skyldiga att rapportera allvarliga cybersäkerhetsincidenter till NCSC. I lagen anges att NCSC även är CSIRT för leverantörer av samhälls- viktiga tjänster47.
När det gäller implementeringen av det kommande
46Säkerhetsriktlinjerna avser bl.a. mobilapplikationer och transportlagersäkerhet (TLS).
47Se
48Ansvar för regleringen av och tillsyn över sektorerna vattenhantering, transport och hamnar ska ligga hos Ministeriet för infrastruktur och vattenhantering (Infrastructuur & Waterstaat).
279
Internationell utblick |
SOU 2021:63 |
Algemene Inlichtingen- en Veiligheidsdienst (AIVD) – den allmänna underrättelse- och säkerhetstjänsten
Nederländernas allmänna underrättelse- och säkerhetstjänst, Algemene Inlichtingen- en Veiligheidsdienst (AIVD), är ett generaldirektorat vid inrikesministeriet (ministerie van Binnenlandse Zaken en Koninkrijks- relaties, BZK) och lyder under inrikesministern. AIVD spelar en vik- tig roll för den nationella säkerheten och försöker identifiera risker och hot mot nationell säkerhet så tidigt som möjligt.
NBV – nationell byrå för kommunikationssäkerhet
Den nationella byrån för kommunikationssäkerhet, Nationaal Bureau voor Verbindingsbeveiliging (NBV), är en enhet vid AIVD som evalue- rar och utvecklar tekniska säkerhetsprodukter för skydd av känslig, sekretessbelagd, information av avgörande betydelse för regeringen. NBV har till uppgift att evaluera säkerhetsprodukter innan dessa ska godkännas för att skydda särskild information. De kriterier som tillämpas vid evalueringen beror främst på klassificeringen av den särskilda information49 som utrustningen måste kunna bearbeta och säkra. NBV ger också råd om säkerhetsprodukternas användning till potentiella användare och organisationer. Med sin expertkompetens om informationssäkerhet bidrar NBV till nationell säkerhet i Neder- länderna. NBV ansvarar vidare för produktion och distribution av nyckelmaterial för olika kryptografiska utrustningar.50
NBV har till uppgift att lämna råd i fråga om
Ekonomiministeriet (Economische Zaken) svarar för sektoriell reglering och tillsyn avseende energi, olja och digitala tjänster. Övervakningen för dessa sektorer genomförs av Agentschap Telecom.
49Informationen inbegriper statshemligheter och annan speciell information som, hos obe- höriga, kan påverka statens, dess allierades eller ett eller flera ministeriers intressen negativt.
50NBV kan hjälpa regeringen med utformningen av en säker och högkvalitativ
280
SOU 2021:63 |
Internationell utblick |
känna produkten. Råden innehåller samtliga förutsättningar för säker användning av produkten.51
WBI – arbetsgrupp för informationssäkerhet
WBI är en arbetsgrupp för informationssäkerhet i vilken
WBI:s uppgifter inbegriper
–politisk rådgivning avseende särskild informationssäkerhet,
–råd till inrikesministeriet om att – efter evalueringsundersökningar
– bevilja godkännande av användning av tekniska informations- säkerhetssystem eller komponenter av dessa för att skydda sär- skild information,
–råd till AIVD när det gäller tillhandahållande av nationellt ut- vecklade tekniska informationssäkerhetssystem eller
–rådgivning om nationell kryptoverksamhet.54
Nationellt cybersäkerhetsråd
Det nederländska cybersäkerhetsrådet Cyber Security Raad (CSR), inrättat av NCSC, är ett nationellt oberoende organ som har till upp- gift att tillhandahålla strategiska råd om cybersäkerhet till den neder- ländska regeringen och näringslivet samt att övervaka utvecklingen
51Det yttersta ansvaret för installation av en säkerhetsprodukt ligger inte på NBV eller WBI utan hos en avdelnings generalsekreterare, och en säkerhetschef ansvarar för genomförandet av en säkerhetspolicy. Nu nämnda personer kan avvika från NBV:s råd men avdelningen får då ta ansvar för eventuellt tillkommande risker.
52Även en representant från AIVD ingår i WBI. Denna representant är också ordförande för WBI.
53Medlemmarna i WBI har rätt att inspektera säkerhetsklassificerade dokument.
54Se den nederländska förordningen nr 2350225/01 om inrättandet av arbetsgruppen för sär- skild informationssäkerhet den 27 juni 2005 (Instellingsregeling WBI).
281
Internationell utblick |
SOU 2021:63 |
på cybersäkerhetsområdet. Rådet levererar även olika typer av pro- dukter.
Certifieringsorgan
TÜV Rheinland Nederland B.V. (TÜV Rheinland) ansvarar för att implementera och driva den nederländska certifieringsordningen för
TÜV Rheinland har också till uppgift att licensiera evaluerings- företag enligt NSCIB och bedöma dessa företags tekniska rapporter. Personalen vid evalueringsföretagen måste genomgå en utbildning godkänd av TÜV Rheinland för att bli licensierade.
Agentschap Telecom
Den övergripande implementeringen av EU:s cybersäkerhetsakt hand- has av Ministeriet för Ekonomi och Klimatpolitik som utsetts till natio- nell myndighet för cybersäkerhetscertifiering i enlighet med akten. De uppgifter som följer av cybersäkerhetsakten har ministeriet dele- gerat till landets telestyrelse, Agentschap Telecom. Agentschap Telecom kommer därmed att certifiera och utöva tillsyn enligt cybersäkerhets- akten.57
55Registrerat enligt C078 för Common Criteria.
56Beroende på mandat kan tillsynsmyndigheter och regelgivare ingripa i vissa stadier av pro- duktlivscykeln.
57Agentschap Telecom föreslås vidare ha ansvaret för tillsyn enligt
282
SOU 2021:63 |
Internationell utblick |
Övergripande reglering av informations- och cybersäkerhet
Nationell cybersäkerhetsstrategi
I sin nationella cybersäkerhetsstrategi från 2018 konstaterar Neder- länderna att cybersäkerhet är nära kopplad till nationell säkerhet till följd av digitaliseringen i samhället. I strategin anges att förmågan ska förbättras för att kunna hantera
I cybersäkerhetsstrategin presenteras sju mål och nödvändiga åtgärder för att uppnå dessa mål. Bland dessa åtgärder ingår obliga- torisk rapportering av cyberhot och incidenter samt krav på att kritiska processer utvecklar sin förmåga att stå emot cyberattacker.59 Det kan konstateras att Nederländerna lägger särskilt stort fokus på att förbättra cybersäkerheten i landet genom att upprätta infor- mationsdelningsstrukturer och samarbete mellan offentlig och privat sektor. Det senaste årtiondet har allt fler nya aktörer, från både offentlig och privat sektor involverats i arbetet med att utveckla den
nationella strategin.
Färdplan för cybersäkerhet i hård- och mjukvara
I det strategiska dokumentet Roadmap for Digital Hard- and Soft- ware Security60 erbjuds en uppsättning åtgärder för att eliminera säkerhetsgap i hård- och mjukvara, upptäcka sårbarheter och mildra deras konsekvenser under produktens hela livscykel. Som åtgärder för ökad digital säkerhet och transpararens föreslår färdplanen bl.a. standardisering och certifiering. Man önskar harmonisera de olika standardiserings- och certifieringsinitiativen så mycket som möjligt och aktivt bidra till ett brett ömsesidigt erkännande av standarder
58National Cyber Security Agenda – A cyber secure Netherlands, se
592017 utarbetade Nederländernas regering även en internationell cybersäkerhetsstrategi: Building Digital Bridges. International Cyber Strategy: Towards an integrated international cyber policy.
60Ministry of Economic Affairs and Climate Policy (2018). Roadmap for Digitally Secure Hardware and Software. The Hague: Ministry of Economic Affairs and Climate Policy.
283
Internationell utblick |
SOU 2021:63 |
och certifikat.61 Vidare insisterar man på en aktiv utveckling av det europeiska ramverket för cybersäkerhetscertifiering enligt EU:s cyber- säkerhetsakt och ett snabbt antagande av obligatorisk certifiering för specifika
Grundläggande informationssäkerhet i offentlig sektor
Baseline informatiebeveiliging Overheid (BIO) är ett grundläggande ramverk för informationssäkerhet som omfattar hela den offentliga sektorn. Det är Inrikesministeriet som svarar för regleringen. Ram- verket syftar till att
–öka samordningen mellan statliga och privata aktörer och där- igenom förbättra informationssäkerheten,
–minska den administrativ bördan för regeringen och industrin,
–möta internationella regleringar och standarder, och
–minska underhållskostnaderna.
Nationella
När det gäller produktcertifiering har en nederländsk certifierings- ordning på
Vidare finns en nationell ordning för grundläggande bedömning av säkerhetsprodukter, BSPA (Baseline Security Product Assessment), som är avsedd att bedöma lämpligheten av
61Nederländerna strävar efter att proaktivt skapa kopplingar till globala standardiserings- och certifieringsinitiativ via
62Algemene Inlichtingen- en Veiligheidsdienst (den allmänna underrättelse- och säkerhetstjänsten).
63Nederländernas nationella byrå för kommunikationssäkerhet.
64Bl.a. IoT omfattas.
284
SOU 2021:63 |
Internationell utblick |
ingsnivå. Kraven uttrycks i det nederländska Baseline Informatie- beveiliging Rijksdienst (BIR).
Särskilda krav på IKT i säkerhetskänslig verksamhet
Informationssäkerhet i produkter och system
Som ovan berörts genomgår produkter som är av avgörande bety- delse för säkerheten hos särskild offentlig information evaluering av den nationella byrån för kommunikationssäkerhet, NBV, innan dessa ska godkännas för skydd av informationen. Efter framgångsrik evaluer- ing lämnar en arbetsgrupp för särskild informationssäkerhet, WBI, råd till Inrikesministeriet som har att besluta om godkännande för användning av systemet eller dess komponenter.65 Några andra natio- nella krav på certifiering av nämnda system och produkter har dock inte kunnat noteras.
ABDO 2017 – försvarskontrakt
Det nederländska försvarsdepartementets dokument ABDO 2017 innehåller cybersäkerhetskrav för försvarskontrakt där bl.a. leveran- törer ska vidta vissa säkerhetsåtgärder. I dokumentet finns krav på att viss utrustning, såsom krypto eller specifik mjukvara för säker anslutning, endast får användas om den godkänts av ett s.k. säker- hetskontor (DISS/ISO). Godkännandet är automatiskt applicerbart också på utrustning som har godkänts av NBV. Sådan utrustning är föremål för en evaluering av NBV. Byråns godkännande gäller i prin- cip för staten. Det automatiska godkännandet av säkerhetskontoret innebär att utrustningen också kan användas utanför staten med hänsyn till ett hemligt avtal av försvarsdepartementet. En lista över utrustning godkänd av NBV finns tillgänglig på nätet. Säkerhets- kontors godkännande gäller också automatiskt för utrustning som har godkänts av försvarsdepartementets säkerhetsmyndighet. Säker- hetskontoret kan också godkänna utrustning själv.
65Detta följer av den nederländska förordningen nr 2350225/01 om inrättandet av arbetsgruppen för särskild informationssäkerhet (Instellingsregeling WBI,
285
Internationell utblick |
SOU 2021:63 |
9.6Tyskland
Aktörer inom informations- och cybersäkerhet
BSI – federal byrå för informationssäkerhet
I Tyskland har den federala byrån för informationssäkerhet, Bunde- samt für Sicherheit in der Informationstechnik (BSI), till uppgift att på nationell nivå främja säkerhet inom it och försvara mot cyber- säkerhetshot. BSI är även det nationella certifieringsorganet för federal
–testning och evaluering av säkerheten i
–utfärdande av säkerhetscertifikat,
–drift av krypto- och säkerhetshanteringssystem för federala in- formationssäkerhetssystem som används inom statlig säkerhet (eller andra av myndigheten särskilt utpekade områden),
–rådgivning om och genomförande av tekniska tester för att skydda viss officiellt hemlig information mot obehörig åtkomst,
–utveckling av säkerhetskrav för federal it och lämplighetskrav på entreprenörer inom
–tillhandahållande av
För att fullgöra sina uppgifter kan BSI bl.a. rekommendera säker- hetsåtgärder och användning av vissa säkerhetsprodukter. BSI kan vidare fastställa minimistandarder avseende säkerhetskrav för att säkra federal it.67 BSI tillhandahåller även tekniska riktlinjer och specifika- tioner som används av de federala myndigheterna som en ram för utveckling av krav på entreprenörer och
66Vid BSI finns bl.a. funktionerna
67Beträffande framtagandet av minimistandarder för
68BSI bör involveras i ett tidigt skede i större federala digitaliseringsprojekt.
286
SOU 2021:63 |
Internationell utblick |
BSI får dock inte utfärda någon säkerhetscertifiering om det finns motstridande tvingande allmänna intressen, särskilt avseende natio- nella säkerhetsangelägenheter.69
Om
Allians för cybersäkerhet
Allianz für
ZITiS – centralkontor för it i säkerhetssektorn
I syfte att kontinuerligt utveckla säkerhetsmyndigheternas tekniska färdigheter och förhindra skada till följd av cyberaktivitet inrättades under det federala inrikesministeriet ett kontor för it i säkerhets- sektorn, Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS). ZITiS är en del av Tysklands cybersäkerhetsstrategi (se nedan). Kontoret tillhandahåller på detta område tjänster till säkerhetsmyn- digheterna i Tyskland. ZITiS uppgifter utgår från de nationella säker- hetsmyndigheternas behov. Uppgifterna inbegriper bl.a. telekom- munikationsövervakning, analys av krypto och stordata samt tekniska frågor om säkerhet. Också kvalitetssäkring av de produkter som an- vänds ingår i tjänsterna. Kontoret bidrar med rådgivning och support
69Se lagen om BSI: Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI- Gesetz – BSIG).
70T.ex. utövar den federala myndigheten Bundesnetzagentur tillsyn över områdena elektricitet, gas, telekommunikation, post och järnväg.
71Enligt konstitutionell lag har den federala regeringen ingen behörighet att anta regler be- träffande organisationen och funktionen av de offentliga tjänster eller funktioner som till- handahålls av federala stater, utan den behöriga myndigheten på nationell nivå är BSI. Det är BSI som ansvarar för att förebygga och bedöma cyberhot samt utgör den primära tillsyns- myndigheten för
287
Internationell utblick |
SOU 2021:63 |
men har inga befogenheter att ingripa och är inte någon upphand- lingsorganisation.
Sektorsmyndigheter
I specifika sektorer, t.ex. banksektorn, kan den behöriga sektors- myndigheten fastställa minimistandarder för
Övergripande reglering av informations- och cybersäkerhet
Nationell cybersäkerhetsstrategi
2016 antog Tyskland en uppdaterad nationell cybersäkerhetsstra- tegi72 som tillhandahåller ett strategiskt ramverk för federal cyber- säkerhetsverksamhet. Strategin uppmärksammar bl.a. behovet av att såväl statliga institutioner samarbetar för att säkerställa cybersäker- het som att regeringen arbetar tillsammans med industrin.
Att staten har egna säkra informationssystem framhålls som sär- skilt angeläget. Inrättandet av ZITiS är en del av strategin. Att risk- analyser görs och säkra system används, genom tillämpning av lämp- liga säkerhetsprodukter och standarder, är vägledande principer enligt strategin. Det ska ske återkommande utvärderingar av strategin som syftar till att hålla det rättsliga ramverket uppdaterat i förhållande till den snabba tekniska utvecklingen.
Reglering och certifiering av
BSI:s övergripande uppgifter och befogenheter regleras i en särskild lag, den s.k.
72Se
73Genom en lag för att öka säkerheten för
288
SOU 2021:63 |
Internationell utblick |
cesser samt att rapportera cybersäkerhetsincidenter till BSI. Certi- fiering är ett sätt som verksamhetsutövarna kan visa på överensstäm- melse med säkerhetskraven. Ingen särskild certifieringsordning eller godkännandeförfarande krävs enligt lag. Överträdelser av skyldighe- terna i fråga om
Genom Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, som är en lag om
BSI får utfärda cybersäkerhetscertifikat efter att överensstäm- melse med uppställda krav bedömts. När BSI gör sin granskning kan den använda sig av en kvalificerad oberoende tredje part.76 Utfärdan- det av certifikat förutsätter att det federala inrikesministeriet bestämt att certifikatutfärdande inte skulle strida mot tvingande allmänna in- tressen, i synnerhet nationella säkerhetsangelägenheter.
I enlighet med förordningen om utfärdande av säkerhetscertifikat och erkännanden av BSI,
74Det är obligatoriskt att åtgärda
75I den utsträckning som kraven i
76BSI kan i sammanhanget definiera krav för hur säkerhetsgranskning och certifiering ska implementeras och vilka bevis som behöver tillhandahållas.
77BSI ska som utgångspunkt publicera listor över certifierade
78Die Deutsche Akkreditierungsstelle GmbH (DAkkS) är det nationella ackrediteringsorganet i Tyskland i enlighet med förordningen (EG) nr 765/2008 om krav för ackreditering.
289
Internationell utblick |
SOU 2021:63 |
Riktlinjer för federal cybersäkerhet
Regimen för cybersäkerhet inom den federala administrationen fast- ställs i Umsetzungsplan
Statliga myndigheter kan certifieras enligt ISO 27001 på grundval av BSI
Särskilda krav på IKT i säkerhetskänslig verksamhet
Allmänt om
En förutsättning för användning av
Certifiering enligt tekniska riktlinjer
Utöver certifieringen av
Befintliga tekniska riktlinjer gäller för bl.a. smartkortläsare, lag- ring av kryptografiskt signerade dokument och kommunikations-
79Tekniska riktlinjer som specificerar dessa krav har utvecklats och släppts av BSI i nära sam- arbete med industrin.
290
SOU 2021:63 |
Internationell utblick |
processer80 för officiella dokument. Nya tekniska riktlinjer utvecklas för att möta krav på nationell säkerhet eller för att tillgodose vissa behov av allmänt intresse.
Tillverkare och distributörer kan ansöka om certifiering enligt tekniska riktlinjer och få en bedömning av överensstämmelse av sina
Allmänna administrativa instruktioner för skyddet av klassificerat material
2006 utfärdade det federala inrikesministeriet Verschlusssachenan- weisung – VSA Bund81 som är allmänna administrativa instruktioner för det fysiska och organisatoriska skyddet av klassificerat material82. Instruktionerna riktar sig till statliga organisationer som arbetar med klassificerat material83 och därmed måste vidta försiktighetsåtgärder för att skydda det. Instruktionerna anger att vissa åtgärder för it- säkerhet ska vidtas. Enligt instruktionerna ska
80Kommunikationsmodellen som beskrivs i
81Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen.
82Klassificerat material avser information, föremål eller fakta som i allmänhetens intresse måste hållas hemliga, i synnerhet för att skydda den federala regeringens eller en federal stats välfärd, oavsett i vilken form materialet presenteras.
83Med klassificerat material avses alla uppgifter och föremål som behöver hållas hemliga i all- mänhetens intresse, oavsett form.
84Departement som använder it för att bearbeta klassificerat material ska tillsätta
291
Internationell utblick |
SOU 2021:63 |
vända hård- och mjukvara som godkänts av chefer på myndigheten. Vidare kräver säkerhetsrelaterade ändringar av auktoriserade
BSI ska hjälpa till med genomförandet av instruktionerna.85 Bl.a. ska BSI bedöma lämpligheten av tekniska medel som ska skydda klassificerat material.
BSI ska vidare godkänna produkter med säkerhetsfunktioner för it, bl.a. produktion av nyckelmaterial, kryptering och nätseparation som ska användas till klassificerat material måste ha godkänts av.86 Godkännandet måste också innehålla nödvändiga specifikationer an- gående användnings- och driftsvillkor. Produkter som har funktioner för kontroll av systemåtkomst, produktion av klassificerat material, loggning, förebyggande av manipulering av
Godkännanden ska rangordnas efter behovet av skydd för it- applikationer för klassificerat material, på grundval av allmänt veder- tagna säkerhetskriterier och förfaranden, som ska kompletteras med särskilda attackskyddstester när det är nödvändigt. Ytterligare detal- jer ska anges av BSI i en s.k. godkännandeplan som ska godkännas av federala inrikesministeriet.
Om
85Hjälpen inkluderar teknisk testning och utbildning. BSI kan anlita tjänster från andra organ för stöd i detta arbete, men om privata organ ska vara inblandade krävs förhandsgodkännande av det federala inrikesministeriet. Inom försvarsministeriets område ska dessa uppgifter ut- föras av den militära underrättelsetjänsten MAD i samarbete med BSI.
86För begränsat hemligt material avser kraven bara kryptering.
87Vid valet av alternativa produkter ska BSI:s upphandlingsguide användas.
292
SOU 2021:63 |
Internationell utblick |
att se om nödvändiga
9.7Frankrike
Aktörer inom informations- och cybersäkerhet
ANSSI – nationell cybersäkerhetsmyndighet
Agence nationale de la sécurité des systèmes d’information (ANSSI) är den nationella myndigheten för cyberförsvar och nätverks- och informationssäkerhet. ANSSI är vidare behörig myndighet för skydds- värda informationssystem. Myndigheten rapporterar till general- sekreteraren för försvar och nationell säkerhet (Secrétariat général de la défense et de la sécurité nationale, SGDSN).88 ANSSI fastställer tekniska och organisatoriska cybersäkerhetsregler för samhällsviktiga sektorer och godkänner aktörer som ska utöva verksamhet i dessa sek- torer. ANSSI:s godkännande är även nödvändigt när det gäller vissa produkter och system med säkerhetsfunktioner som ska användas i verksamhet som avser nationell säkerhet (se nedan).89
Vid ANSSI finns ett certifieringsorgan som utfärdar certifikat för
88På nationell nivå har generalsekreteraren för försvar och nationell säkerhet, SGDSN, å pre- miärministerns vägnar ansvaret för att styra den nationella politiken för säkerheten hos infor- mationssystem, inbegripet definiering och koordinering av policy gällande skydd för klassi- ficerad information. För att göra detta är SGDSN beroende av ANSSI.
89ANSSI ger vidare säkerhetsrekommendationer i fråga om tillhandahållare av kvalificerade betrodda tjänster. Kvalificering av en tjänsteleverantör intygar att denne uppfyller kraven från ANSSI på kompetens och i standarder. Det finns bl.a. kvalificerade granskare av säkerhet i informationssystem (PASSI).
90ANSSI har tagit fram en vägledning för certifieringsprocessen och en guide för utarbetandet av en säkerhetspolicy för informationssystem (PSSI Guide). Målet med
293
Internationell utblick |
SOU 2021:63 |
AQSSI – Kvalificerade myndigheter för säkerhet i informationssystem
På lokal nivå finns en organisation, Autorité qualifiée pour la sécurité des systèmes (AQSSI), med ansvar för informationssystemsäkerhet i förvaltning, offentliga anläggningar och decentraliserade tjänster. Chefen för organisationen ska definiera en säkerhetspolicy för infor- mationssystem och säkerhetsställa genomförandet av gällande re- glering. AQSSI ska också utse s.k. godkännandemyndigheter för be- rörda system (se nedan).
CESTI – evalueringscenter
Centre d’Évaluation de la Sécurité des Technologies de l’Information (CESTI) utför oberoende och opartiska evalueringar vid certifier- ingsprocesser enligt Common Criteria och/eller den nationella ord- ningen för grundläggande säkerhetscertifiering av
Övergripande reglering av informations- och cybersäkerhet
Nationell strategi och informationssystem
Frankrike har antagit en nationell cybersäkerhetsstrategi som gäller sedan 201591 – och i samband med det har man framhållit vikten av att prioritera införlivandet av cybersäkerhet i kritisk infrastruktur, s.k. skydd av kritisk informationsinfrastruktur (CIIP).
Alla informationssystem i statlig förvaltning omfattas av särskilda säkerhetskrav (se nedan). Behovet av att använda produkter och tjäns- ter som är kvalificerade enligt ANSSI samt att skydda myndighe- ternas mest känsliga uppgifter på det nationella territoriet är fram- trädande i det nationella systemet.
ANSSI har länge rekommenderat en process för säkerhetsgod- kännande av informationssystem för att bygga förtroende för syste- men och deras framtida drift. Som utgångspunkt är det dock chefen för den berörda organisationen som ska fatta beslutet om godkännande.
91Se
294
SOU 2021:63 |
Internationell utblick |
Nationell certifieringsordning
Certification de Sécurité de Premier Niveau (CSPN) är en nationell certifieringsordning för säkerhetscertifiering av
Riktlinjer för grundskydd av myndigheters
Référentiel Général de Sécurité (RGS) är riktlinjer som tillhandahålls av ANSSI, avser ett grundskydd93 som gäller för
Industriella informations- och styrsystem
ANSSI har tagit fram ett dokument med rekommendationer och direktiv till stöd för ökad cybersäkerhet i industriella informations- och styrsystem där certifiering och godkännandeprocesser är åter- kommande inslag.94 Bl.a. ska vissa tjänster95, produkter96, metoder och personer97 vara certifierade.
92Även verksamhetsutövare omfattas av certifieringsordningen. Ordningen tillåter för övrigt inte självbedömning.
93Lägsta rekommenderade skyddsnivå för informationssystem och organisation.
94Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), (2014): Cybersecurity for Industrial Control Systems. Detailed measures. Paris.
95T.ex. riskanalys av verksamheten, cybersäkerhetsträning och säkerhetsgranskning.
96T.ex. datadioder samt enheter som används i trådlösa nätverk.
97Fysisk tillgång till enheter på plats ska förbehållas certifierad personal.
295
Internationell utblick |
SOU 2021:63 |
IKT i säkerhetskänslig verksamhet
Skyddsvärd information i system
Alla informationssystem som hanterar säkerhetsklassificerad infor- mation ska godkännas så att systemet är kvalificerat att hantera sådana uppgifter i enlighet med eftersträvade säkerhetsmål och åter- stående säkerhetsrisker accepteras. Sådana informationssystem ska godkännas av en s.k. godkännandemyndighet. Om informations- systemet behandlar information som klassificerats som kvalificerat hemlig är SGDSN godkännandemyndighet.98 Dessutom måste säker- hetsfunktionerna för dessa system godkännas av ANSSI.99 Godkän- nandebeslut måste som utgångspunkt fattas innan informationssyste- met tas i drift (”l’homologation du système”).100 Det ovan anförda följer av Instruction générale interministérielle n°1300 (IGI 1300) – en instruktion som bl.a. fastställer regler för skydd av information som rör nationella försvarshemligheter. Instruktionen anger villkor för att hantera känsliga och klassificerade uppgifter och säkerställa deras skydd. Instruktionen uppställer organisatoriska, tekniska och kon- traktuella villkor för att säkerställa tillräcklig tillförlitlighet. T.ex. måste varje entitet som hanterar skyddsvärd information definiera roller och ansvar enligt instruktionen och berörda informationssystem ska ackrediteras på lämplig nivå av behörig myndighet före bearbet- ning av klassificerad information. ANSSI har deltagit i utarbetandet av instruktionen genom att definiera regler för att skydda informationen när den behandlas i informationssystem.101
98Godkännandeorgan för berörda system utses annars av berörd AQSSI i de fall systemet tillhör en organisation eller enhet under ledning av en minister. Det kan vara den kvalificerade myndigheten. När SGDSN ska godkänna systemet är ANSSI medlem i godkännandekom- mittén. När informationssystemet tillhör en privat organisation ligger godkännandeaukto- ritetens ansvar hos det eller de organ som berörs av systemet.
99Godkända säkerhetsanordningar i informationssystemen syftar till att skydda mot obehörig åtkomst. Godkännande begärs vanligtvis av den myndighet som ansvarar för utvecklingen eller användningen av systemet. Intyg om godkännande av förmågan att skydda relevant informa- tion utfärdas efter en säkerhetsevaluering av licensierade laboratorier. Ett tillstånd kan återkallas före giltighetstidens utgång beroende på utvecklingen av hot eller upptäckten av sårbarheter.
100Godkännandebeslutet gäller för en period om maximalt fem år för ett informationssystem på konfidentiell säkerhetsnivå respektive två år på hemlig eller kvalificerat hemlig nivå. God- kännandemyndigheten fastställer villkoren för att upprätthålla säkerhetsgodkännande för in- formationssystemet.
101Skyddsmärket ”Diffusion restreinte” kan användas när avslöjande av information sannolikt skulle påverka suveräna intressen. Används känsliga informationssystem, eller Diffusion restreinte- märkta system, måste använda betrodda säkerhetsprodukter. I det senare fallet ska använda säkerhetsprodukter vara godkända på rätt nivå, kvalificerade eller certifierade av ANSSI.
296
SOU 2021:63 |
Internationell utblick |
Ett säkerhetsgodkännande innebär ett formellt erkännande att den bedömda säkerhetsprodukten kan skydda information upp till angiven nivå eller att bedömt informationssystem kan bearbeta in- formation på en viss klassificeringsnivå i enlighet med säkerhetsmålen och att återstående säkerhetsrisker accepteras. Den ansvarige organi- sationen intygar således, efter riskbedömning, att skyddet av infor- mationen och systemet säkerställs till önskad nivå.
Kritiska informationssystem
Utöver vad som krävs av
La loi
Systèmes d’information d’importance vitale är en särskild
102ANSSI har upprättat tekniska och organisatoriska regler som är sektorsöverskridande och huvudsakligen består av grundläggande cybersäkerhetsåtgärder, inbegripet bl.a. nätverksmapp- ning, nätverkssegmentering, implementering av tillförlitliga detekteringsfunktioner och ackre- ditering. Bortom säkerhetskraven bidrar ramverket till att bygga nationens motståndskraft.
297
Internationell utblick |
SOU 2021:63 |
cering av kandiderande cybersäkerhetsleverantörer103 och produkter som uppfyller tillräckliga säkerhetskrav.104
Pågående reform av regelverket
Frankrike genomför för närvarande en reform av sina föreskrifter om skyddet av nationell säkerhet. Den nya regleringen ska träda i kraft den 1 juli 2021 och bygger huvudsakligen på dekret nr 2019- 1271 om metoder för klassificering och skydd av nationella försvars- hemligheter105 samt IGI 1300.
Övriga kontroller av IKT
Frankrike tillämpar kontroller för export av programvara och hård- vara för informationssäkerhet, inklusive kryptering. Dessutom kon- trollerar Frankrike leverans och import av kryptering till Frankrike.
Instruction interministérielle n°901 definierar särskilda regler för skydd av känsliga informationssystem, särskilt de som hanterar in- formation märkt ”Restricted”, mot alla typer av hot. Målet med instruktionen är säkerställa kontinuitet hos verksamheter och för- hindra att känslig information röjs.
En allmän bestämmelse i försvarskoden, Code de la Défense, till- låter franska myndigheter som står inför ett hot, mot t.ex. dess natio- nella intressen, att vidta alla tekniska åtgärder som anses nödvändiga för att tillskriva eller mildra en attack genom att få tillgång till infor- mation. Frankrike kräver också godkännande av utländska invester- ingar i känsliga sektorer som är avgörande för Frankrikes nationella intresse.
103Leverantörer kan t.ex. kvalificeras för tjänster inom säkerhetsgranskningar.
104Berörda organ ackrediteras av den franska ackrediteringskommittén COFRAC och licen- sieras av ANSSI.
105Décret n°
298
SOU 2021:63 |
Internationell utblick |
Sammanfattning av särskilda krav på IKT i säkerhetskänslig verksamhet
Av inhämtade uppgifter framgår att det finns centrala myndigheter i Frankrike med ansvar för nationell informations- och cybersäkerhet och
9.8Storbritannien
Aktörer inom informations- och cybersäkerhet
GCHQ – underrättelse- och säkerhetstjänst
Government Communications Headquarters (GCHQ) är en under- rättelse- och säkerhetstjänst som har till uppgift att skydda Stor- britannien och dess medborgare från individer, grupper och länder som vill orsaka skada. Det finns bl.a. nationella krav på att GCHQ ska säkra (”assure”) kryptoutrustning som ska användas i säkerhets- känslig verksamhet. Vid GCHQ finns det nationella cybersäkerhets- centret (se nedan).
Nationellt cybersäkerhetscenter
Det nationella cybersäkerhetscentret, National Cyber Security Centre (NCSC), besitter expertkunskap om cybersäkerhet samt tillhanda- håller råd för offentlig och privat sektor. NCSC är en del av GCHQ och svarar för informationssäkerheten.106 Centret utgör landets tek- niska myndighet för cyberhot.107 Centrets uppgifter är bl.a. att mot- verka cyberbrott och svara på cybersäkerhetsincidenter och säkra nät- verk för att minimera skador i samhället. Kritiska samhällssektorer
106Ytterst är det premiärministern och kabinettet som är ansvariga för regeringens säkerhet.
107I Storbritannien kategoriseras cyberhot som ett ”tier 1 threat”. Under 2011 uppskattade den brittiska regeringen, i sin rapport, Detica, Cabinet Office (2011): The cost of cyber crime, att nationen förlorade 27 miljarder pund årligen på grund av brist på cybersäkerhet.
299
Internationell utblick |
SOU 2021:63 |
är ett fokusområde. Centret erbjuder vidare certifiering som täcker en rad produkter, tjänster och organisationer – även på assuransnivån hög (främst kryptografiska produkter).108 Som certifieringsorgan har centret också till uppgift att godkänna evalueringsföretag.
I fråga om utveckling av produkter som hanterar särskilt känslig information, t.ex. information som klassificeras som hemlig eller kva- lificerat hemlig, rekommenderar emellertid centret att utvecklaren söker ytterligare specialistsråd om de särskilda hot som behöver beaktas i sammanhanget.
Ansvaret för hantering av
Reglering av informations- och cybersäkerhet
Nationell cybersäkerhetsstrategi
Storbritannien antog en nationell cybersäkerhetsstrategi 2016 som utvärderas kontinuerligt för att hålla det rättsliga ramverket upp- daterat i förhållande till den tekniska utvecklingen.109 Ett mål med strategin är att fördjupa det internationella samarbetet på området. Strategin identifierar också ett behov av utvidgat nationellt sam- arbete mellan regeringen och privat respektive offentlig sektor för ökat säkerhetsmedvetande kring internet. Storbritannien lägger stort vikt vid att förbättra cybersäkerheten genom att upprätta informa-
108För vissa hotmodeller och teknologier genomför centret oberoende utvärderingar av pro- dukter (främst kryptografiska produkter) som kräver ett certifikat från centret på nivå hög. Bedömningen görs i enlighet med en viss assuransordning innehållande detaljerade krav som härstammar från vissa principer avseende hög assurans: produkter ska komma från betrodda leverantörer med bevisad hög kunskap om hotdomänen, utvecklare som följer bästa praxis, produkter med specifika säkerhetsfunktioner med identifierade sårbarheter, oberoende bedöm- ning av anspråkgjord säkerhetsfunktion, avsiktlig drift, och ett betrott läge.
109Se
300
SOU 2021:63 |
Internationell utblick |
tionsdelningsstrukturer och samarbete mellan offentlig och privat sektor.
Även i tidigare nationella strategier har klargjorts att myndighe- ternas inställning till cybersäkerhet är riskbaserad och att arbetet måste göras i partnerskap med privata aktörer. Man har följaktligen inlett ett gemensamt initiativ mellan myndigheterna och industrin om informationsdelning och samarbete för att möta de digitala hoten, kallat
Cyberattacker mot kritisk infrastruktur bedöms kunna ha störst inverkan på den nationella säkerheten. Därför är det en strategisk prioritering att vidta åtgärder för att öka cybersäkerheten hos kritisk nationell infrastruktur.
Den nationella cybersäkerhetsstrategin framhåller att krypto- grafisk kapacitet är grundläggande för att skydda landets mest käns- liga information och användningen av nationella säkerhetsfunktio- ner. För att upprätthålla tillräcklig förmåga kräver man kompetens och teknik från privat sektor som är garanterad av GCHQ.110
Storbritannien köper inte produkter eller tjänster ”från hyllan” när det gäller kvalificerat hemliga (”highly classified”) eller känsliga tekniker.111
Strategin framhåller att NCSC ska vara en auktoritet när det gäller nationella cybersäkerhetsangelägenheter. Därutöver syftar lanser- ingen av två nya cyberinnovationscenter till att driva utvecklingen av avancerade cyberprodukter och nya dynamiska cybersäkerhetsföretag.
Det kan konstateras att Storbritannien, i likhet med Tyskland, har organ med mandat vars syfte är att säkerställa kritisk infrastruk- tur och kritiska samhällsfunktioner, oavsett om detta är civilt eller militärt.
Ramverk för säkerhetspolicy
Den brittiska regeringen har antagit en säkerhetspolicy, The security policy framework,112 som beskriver de standarder, riktlinjer för bästa praxis och metoder som krävs för att skydda nationella statliga till-
110Detta bedöms kräva att arbetet utförs i Storbritannien av brittiska medborgare med erfor- derligt säkerhetsgodkännande. Vidare förväntas berörda företag vara helt öppna med GCHQ när det gäller att diskutera design- och implementeringsdetaljer.
111HM Government (2015), National Security Strategy and Strategic Defence and Security Review 2015. A Secure and Prosperous United Kingdom. London: HM Government.
112Cabinet Office, HMG Security Policy Framework, version 1.1, maj 2018.
301
Internationell utblick |
SOU 2021:63 |
gångar (människor, information och infrastruktur). Policyn fokuserar på de resultat som krävs för att uppnå en proportionerlig och risk- hanterad strategi för säkerhet som gör det möjligt för statliga orga- nisationer att fungera effektivt och säkert. Den innehåller också beskrivningar av god förvaltning och stark säkerhetskultur på orga- nisatorisk nivå.
Policyn anger riskhantering på styrelsenivå som en övergripande princip på säkerhetsområdet. Här ska bedömningar göras för att identifiera potentiella hot, sårbarheter och lämpliga kontroller för att minska riskerna till en acceptabel nivå.113 Bl.a. ska det finnas ut- bildade specialister som kan analysera hot mot och potentiella ska- dor på verksamheten. Vidare behövs assuransprocesser för att säker- ställa att begränsningar är och förblir effektiva.
Informationssäkerhet är ett annat område som policyn behand- lar. Personalen i statliga organisationer förutsätts vara utbildade att på ett ansvarsfullt sätt hantera informationen de kommer i kontakt med i sin verksamhet. Det ska också finnas mekanismer och processer som säkerställer att tillgångar är korrekt klassificerade och lämpligt skyddade. Man behöver ha ett förtroende för att säkerhetskontroller (se nedan) är effektiva och att system och tjänster kan skydda den information de har. För denna saks skull ska det ska finnas ett över- gripande program för informationsassurans som drivs av styrelsen.
Vidare ska statliga organisationer identifiera om de har teknik och tjänster som avser kritisk nationell infrastruktur och i så fall hantera risker därefter.114 Policyn föreskriver säkerhetskontroller som
–minskar potentiella hot,
–hanteras aktivt och hålls uppdaterade,
–skyddar mot och korrigerar skadligt beteende, och
–säkerställer att kritisk teknik och kritiska tjänster är motstånds- kraftiga mot cyberattacker och har möjlighet att återhämta sig från sådana.
113En årlig rapporteringsprocess behövs för att säkerställa lämplig riskhantering.
114Myndigheter i Storbritannien kräver också att leverantörer som ska behandla känslig in- formation uppfyller givna informationssäkerhetsstandarder.
302
SOU 2021:63 |
Internationell utblick |
Cyber Essentials
Cyber Essentials är ett initiativ från NCSC som stöds av den brittiska regeringen och industrin för att ge organisationer en grundläggande nivå av cybersäkerhetskontroller som skydd mot de vanligaste cyber- hoten.115 Det är fråga om en certifieringsordning som täcker grunderna för cybersäkerhet i en organisations verksamhet eller ett företags it- system och bedöms av regeringen passa alla typer av organisationer. Förutom att stimulera en utbredd användning av grundläggande säker- hetskontroller mot mindre avancerade
Den brittiska regeringen kräver att leverantörer som bjuder på centrala regeringskontrakt som involverar hantering av känslig och personlig information eller tillhandahållande av vissa
–personlig information om medborgare, statligt anställda eller ministrar hanteras av en leverantör, eller
115Cyber
303
Internationell utblick |
SOU 2021:63 |
–
Utöver ovanstående kan Cyber Essentials användas från fall till fall vid upphandlingar om den upphandlande myndigheten finner det lämpligt. En sådan användning kräver att en cybersäkerhetsrisk iden- tifieras som inte skulle hanteras av något befintligt säkerhetskrav och där användningen av Cyber Essentials är ett relevant och propor- tionellt alternativ, t.ex. när data finns utanför landet. Avtal kan vara undantagna från kraven om det kan påvisas att användning av Cyber Essentials antingen är irrelevant eller klart oproportionerligt, t.ex. där en cybersäkerhetsrisk är bedöms vara mycket låg.
Leverantörer kan även visa på överensstämmelse med de tekniska kraven på andra sätt än genom ett certifikat, såtillvida den avtals- ingående myndigheten är nöjd med uppfyllandet av Cyber Essentials- kraven. Normalt sett ska detta verifieras av en tekniskt kompetent och oberoende tredje part. Att skaffa certifikatet anses emellertid oftast vara det enklaste sättet att demonstrera att man uppfyller kraven, även om andra former av bevis är acceptabla.
Företag som ska leverera till försvarsmarknaden förutsätts ha en Cyber
Cyber Essentials Plus erbjuder en högre assuransnivå genom extern testning av organisationens cybersäkerhet, där bl.a. sårbarhetstester ska utföras. Vid några upphandlingar med högre risk är det troligt att inte heller Cyber Essentials Plus på egen hand kommer ge tillräck- lig assurans, och ytterligare, bredare, säkerhetskrav kommer då att specificeras, t.ex. ISO
116Efter att organisationen gjort en självbedömning av sin implementering av kontrolltemana, som är godkänd av en ledande befattningshavare, ska ett oberoende certifieringsorgan utifrån självskattningen bedöma huruvida en lämplig standard nåtts. Därefter kan certifiering tilldelas. Detta alternativ erbjuder en grundläggande nivå av assurans. Åtgärderna är inte utformade för att adressera mer avancerade riktade attacker.
117Leverantörer som uppfyller ISO
304
SOU 2021:63 |
Internationell utblick |
Minimistandard för cybersäkerhet
Den tekniska standarden Minimum Cyber Security Standard118 är ett dokument som definierar minimiåtgärder för säkerhet som departe- ment och statliga myndigheter ska vidta för att skydda sina
Standarden kräver bl.a. att driften av operativsystem och mjuk- varupaket ska patchas regelbundet. Vidare ska data krypteras när organisationen inte kan förvänta sig fysiskt skydd av berörd enhet. Det ska också säkerställas att angivna standarder uppfylls av tillhanda- hållare av tjänster från tredje part. Detta kan uppnås genom att leve- rantörer försäkrar (”assure”) sin cybersäkerhet mot regeringens cyber- säkerhetsstandard, eller genom att kräva att de åtminstone har ett giltigt Cyber
Standard och vägledning för cybersäkerhet på försvarsområdet
I Storbritannien ska en standard för cybersäkerhet, Def Stan
Försvarsdepartementet uppställer krav beroende på hur cyberrisk- profilen ser ut. Krav för en hög cyberriskprofil avser bl.a. upprätt- hållandet av en Cyber Essentials
sådant, skulle betraktas som innehavare av en motsvarande standard till Cyber Essentials. Sådana leverantörer behöver därför inte Cyber
118Minimum Cyber Security Standard, juni 2018, version 1.0. The Cabinet Office Government Security Group (GSG) har utfärdat minimistandarder för bl.a. cybersäkerhet och incident- hantering som definierar säkerhetsåtgärder som departementen måste implementera.
119Organisationen får, som en del av sin riskbedömning, själv avgöra om Cyber Essentials ger tillräcklig säkerhet.
305
Internationell utblick |
SOU 2021:63 |
CAPS – certifierade assisterade produkter
The National Cyber Security Centre (NCSC), tillsammans med part- ners, erbjuder certifiering av assisterade produkter, Certified Assisted Products (CAPS). CAPS kombinerar NCSC:s kryptografiska kun- skap med den privata sektorns expertis och resurser för att påskynda utvecklingen av produkter av hög kvalitet. CAPS är en ordning för evaluering av högkvalitativa produkter som utvecklats av industrin för användning av den brittiska regeringen och andra lämpliga orga- nisationer.
Kryptografiska produkter använder kryptering för att ge säkerhet. Exempel är
Utvecklare kan införliva lämpliga kryptografiska eller allmänna algoritmer i sina produkter och skicka in dem för evaluering av CAPS. När det väl accepterats, och efter inledande diskussioner mellan NCSC och utvecklaren, ger ett konsult- och rådgivningsavtal företag till- gång till NCSC:s kunskap, kompetens och erfarenhet inom infor- mationsassurans, kompletterat med en rad vägledningsdokumenta- tion innan produkterna går in i fullständig evaluering.
När produkterna slutligen godkänts utfärdas ett certifikat och/eller godkännandebrev som beskriver nivån på det kryptografiska skyddet som erbjuds. Bl.a. kan en förutsättning för tjänsten vara att utveck- laren ackrediterats enligt regeringens ”List
List X – särskilda säkerhetskrav på företag i säkerhetskänslig verksamhet
Tillhandahållare av tjänster och tredjepartsleverantörer som hanterar hemliga tillgångar måste tillämpa lämpliga säkerhetskontroller, inbe- gripet List
120List
Office’s dokument Security Requirements for List X Contractors, april 2014, v. 10.0 (se nedan).
306
SOU 2021:63 |
Internationell utblick |
säkerhetsaspekter, bl.a. på organisatorisk nivå och beträffande säker- hetsgodkännande av personal. Vidare kräver t.ex.
Sammanfattning av särskilda krav på IKT
Av inhämtade uppgifter framgår att det finns myndigheter i Stor- britannien med ansvar för nationell informations- och cybersäkerhet och certifiering av IKT. I fråga om produkter som hanterar hemlig information krävs särskilt utvecklat skydd. På denna nivå används normalt inte vanligen förekommande kommersiella lösningar. Till- gång till känslig information ska endast ges till auktoriserade system.121 Företag som tillhandahåller vissa
9.9USA
Aktörer inom informations- och cybersäkerhet
Inledning
I USA är den nationella kapaciteten för
121Huruvida detta innebär att vissa
307
Internationell utblick |
SOU 2021:63 |
cations Integration Center (NCCIC). NCCIC ska bl.a. ha en upp- daterad situationbild, genomföra
De olika organen i den amerikanska satsningen på
Inrikes säkerhet och cybersäkerhet
Department of Homeland Security (DHS) har i uppdrag att samordna arbetet med att förhindra katastrofer och hot mot nationen samt att agera till skydd för befolkningen vid sådana händelser. I personalen ingår bl.a. cybersäkerhetsanalytiker.
Cybersecurity and Infrastructure Security Agency (CISA) är en ledande cybersäkerhetsmyndighet på federal nivå. CISA ger råd om riskhantering och utgör kärnan i det kollektiva försvaret mot cyber- och fysiska hot mot landets kritiska infrastruktur. CISA erbjuder, utöver rådgivning, teknisk hjälp och utbildning på informations- säkerhetsområdet. Myndigheten är underställd DHS tillsyn.
National Risk Management Center (NRMC) är inrymt i CISA och arbetar för att identifiera, analysera, prioritera och hantera hot med potentiellt stora konsekvenser för kritisk infrastruktur. NRMC samarbetar med privat sektor och andra viktiga aktörer inom kritisk infrastruktur för att skapa ett informationsutbyte som gynnar säker- het och resiliens i och mellan samhällsviktiga sektorer.
308
SOU 2021:63 |
Internationell utblick |
Övriga federala säkerhetsmyndigheter
Defence Counterintelligence and Security Agency (DCSA) är en federal säkerhetsmyndighet med uppdrag att skydda landets säker- hetskänsliga arbetsplatser och dess personal. Vid myndigheten finns Center for Development of Security Excellence (CDSE) som erbjuder säkerhetsprodukter och
National Security Agency (NSA) är en federal myndighet i USA som lyder under DoD. NSA svarar för landets signalspaning och upprätthåller också säkra (krypterade) kommunikationer för högt uppsatta befattningshavare. NSA driver National Information Assurance Partnership (NIAP, se nedan) som är ett amerikanskt regeringsini- tiativ för att möta utmaningar med säkerhetstestning bland
Nationellt integrationscenter för cybersäkerhet och kommunikation
National Cybersecurity and Communications Integration Center (NCCIC) är en del av cybersäkerhetsdivisionen hos CISA. NCCIC har till uppgift att säkerställa att relevant information rörande risk- bild, incidenter och analyser skyddas och delas. NCCIC delar infor- mation mellan offentliga och privata företag och är också ett dygnet
Office of Management and Budget
Office of Management and Budget (OMB) är enligt lag ansvarigt för att övervaka federala myndigheters informationssäkerhets- och sekre- tesspraxis och för att utveckla och styra genomförandet av policyer och riktlinjer som stöder och upprätthåller dessa metoder. Inom
122Certifieringen av personal sker på olika nivåer och områden. Merparten av certifierings- programmen ackrediteras av the National Commission for Certifying Agencies (NCCA).
309
Internationell utblick |
SOU 2021:63 |
OMB delegeras dessa ansvarsområden till Office of the Federal Chief Information Officer (OFCIO) som samarbetar med partners inom regeringen för att utveckla cybersäkerhetspolicyer, genomföra data- driven tillsyn över byråns cybersäkerhetsprogram och samordna det federala svaret på cyberincidenter.
OMB arbetar kontinuerligt för att effektivt anpassa befintlig säker- hetspraxis till ett mer modernt teknologilandskap medan standardi- seringen bland federala myndigheter ökar.
Nationellt säkerhetsråd
National Security Council (NSC) ansvarar för att koordinera policy- initiativ med presidentens seniora rådgivare samt befattningshavare inom militären och underrättelsetjänsten. Cybersäkerhetsdirektora- tet vid NSC ger bl.a. presidenter råd i frågor om cybersäkerhet av betydelse för nationell säkerhet. NSC och OMB samarbetar med federala myndigheter för att implementera administrationens cyber- säkerhetsprioriteringar.
Nationellt institut för tekniska standarder
National Institute of Standards and Technology (NIST) är USA:s nationella institut för standarder och teknologi. NIST drivs av USA:s handelsdepartement och dess kärnverksamhet avser utveckling av kritiska mätningslösningar och informationssäkerhetsstandarder. NIST ansvarar för att utveckla riktlinjer, inklusive minimikrav för federala informationssystem. För ackreditering av evalueringsföre- tag ställer NIST vissa krav på och bedömer personalens kompetens samt anger evalueringskrav för ackreditering. NIST tillhandahåller även verktyg och vägledning för att öka användningen av kryptering.
Kommitté för nationella säkerhetssystem
Committee on National Security Systems, CNSS, är en organisation som på nationell nivå fastställer cybersäkerhetspolicy, direktiv, in- struktioner och vägledning för amerikanska departement och myn- digheter när det gäller skydd av nationella säkerhetssystem (se nedan).
310
SOU 2021:63 |
Internationell utblick |
Tillsyn och ansvar på sektornivå
I USA utövas tillsyn på cybersäkerhetsområdet vanligen sektoriellt. Olika federala departement och myndigheter har ansvar att verka sektorsspecifikt i respektive samhällsviktig sektor. Sektorsmyndig- heterna är ansvariga att samarbeta med DHS för att implementera
Allmän reglering på cybersäkerhetsområdet
Inledning
De amerikanska myndigheterna har uppgett att cyberhotet är den största nationella säkerhetsutmaningen. USA ser ett tydligt behov av att inkludera alla relevanta aktörer i sitt cybersäkerhetsarbete. Detta återspeglas bl.a. i det faktum att myndigheterna i USA upprättat en s.k. ”whole of
123För övrigt finns inga krav på att ge statliga tjänstemän fysisk tillgång till anläggningar, på att i en nödsituation avstå från kontroll av anläggningar eller på att tillhandahålla källkod eller andra dekrypteringsfunktioner.
124Flera länder erkänner att mandat och befogenheter hos myndigheter ofta överlappar var- andra och att brist på samarbete och samarbete kan leda till framväxten av ”blinda fläckar”.
311
Internationell utblick |
SOU 2021:63 |
Nationell cybersäkerhetsstrategi
2018 antog USA, genom presidenten och försvarsdepartementet, en ny nationella cybersäkerhetsstrategi.125 Strategin fokuserar på stärkt samarbete, skydd av kritisk infrastruktur och säkrande av offentliga och privata system och information som rör försvaret samt främ- jandet av en säker digital ekonomi. Strategins mål är att försvara natio- nen och främja amerikanskt välstånd.
Strategin bygger på och utvecklar arbetet som påbörjats under Executive Order 13800, Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure. Den verkställande ordern iden- tifierar betydelsen av uppdragsleverans, servicekvalitet och säkerstäl- lande av medborgarnas information även om skadliga cyberaktörer försöker störa dessa tjänster.
Verkställande order om cybersäkerhet
USA:s president undertecknade den 12 maj 2021 en verkställande order för att förbättra landets cybersäkerhet och skydda statliga nät- verk mot bakgrund av att den senaste tidens eskalerande cybersäker- hetsincidenter i offentlig och privat sektor talar för att cybersäker- hetsförsvaret är otillräckligt.
Den verkställande ordern syftar till att
–förbättra delningen av cybersäkerhetsinformation mellan reger- ingen och privat sektor,
–stärka den nationella svarsförmågan,
–implementera starkare cybersäkerhetsstandarder i den federala regeringen,
–förbättra mjukvarusäkerheten i leveranskedjan,
–inrätta en styrelse för granskning av cybersäkerhet,
–inrätta en handbok för svar på cyberincidenter,
–förbättra detekteringen av cybersäkerhetsincidenter mot statliga nätverk, och
–förbättra utredande och avhjälpande förmågor.
125Se
312
SOU 2021:63 |
Internationell utblick |
Ramverk för cybersäkerhet
The Cybersecurity Enhancement Act of 2014 är en lag på federal nivå som syftar till att tillhandahålla ett
NIST har i samarbete med regeringen och privat sektor tagit fram ett ramverk för cybersäkerhet vilket ratificerats av kongressen som ett ansvarsområde inom the Cybersecurity Enhancement Act of 2014. Ramverket, som är frivilligt och används brett, syftar till att hjälpa organisationer att hantera sina cybersäkerhetsrisker och
Även om det inte är vanligt att ha en allmän lag för cybersäkerhet används allt fler standarder som grund för informationssäkerhets- arbetet. Många av dessa standarder överlappar varandra genom att de reglerar implementeringen av ett kontrollsystem för informations- säkerhet, med målet om ett mer strukturerat och systematiskt arbete för att förbättra kvaliteten på informationssäkerheten i allmänhet och genomförandet av riskreducerande åtgärder i synnerhet. Ett exempel på en sådan standard är Framework for Improving Critical Infra- structure Cybersecurity, publicerad av National Institute of Standards and Technology (NIST) i USA.
Program för evaluering av kommersiellt utvecklade
NIAP tillhandahåller gemensamma kriterier för testning och valider- ing av kommersiellt utvecklade
313
Internationell utblick |
SOU 2021:63 |
Federala myndigheters informationssäkerhet
I amerikansk lag föreskrivs att the Director of the Office of Manage- ment, i samråd med the Secretary of Homeland Security, ska bestämma vilka standarder för informationssäkerhet som ska användas för fede- rala system, och bli kontrollerade emot.126
Federal Information Security Modenization Act 2014 (FISMA) är en lag som reglerar federal informationssäkerhet. FISMA identifie- rar myndighetens chef som ansvarig för sin respektive organisations förhållningssätt till cybersäkerhet. Myndigheterna är ansvariga för att allokera nödvändig personal, processer och teknologi för att skydda federal data.127
Office of Management and Budget (OMB) publicerar årliga rap- porter i enlighet med FISMA vilka bl.a. innehåller analyser av in- trångsdetekterings- och förebyggande kapacitet samt och uppgifter som rapporterats av federala myndigheter. Rapporten sammanfattar även cybersäkerhetsprestandan hos myndigheterna utifrån självbedöm- ningar som respektive informationschef gjort. Självbedömningen är en skriftlig redogörelse som ger varje myndighet möjlighet att er- bjuda inblick i framgångar eller utmaningar från det senaste året, och i vissa fall formulera myndighetens framtida prioriteringar.
NIST Risk Management Framework (RMF) är grunden för krav och kontroll av alla federala myndigheters informations- och
NIST Cybersecurity framework (CSF) är till skillnad från RMF ett frivilligt stöd till privata aktörer att välja ett adekvat skydd. I prin-
126Sektorsmyndigheter är skyldiga att arbeta med the Department of Homeland Security för att implementera det sektoriella
127Varje myndighetschef är ansvarig för att delegera denna behörighet till informationssäker- hetschefen.
128Krav som ingår i RMF är ”mappade” mot ISO 27001 (och tvärtom, men noteras bör att vilka åtgärder som ska göras inte styrs av ISO 27000 eftersom i den senare överlåts risk- bedömningen och val av åtgärder till verksamhetsutövaren, vilket är mycket mer centralt styrt i RMF).
314
SOU 2021:63 |
Internationell utblick |
cip delar CSF upp åtgärder i olika kategorier. Inom respektive kate- gori kan man välja en nivå. Man kan därmed skapa profiler för olika typer av verksamheter som anger vilka nivåer man bör sträva efter i varje nivå. Sådana profiler finns utarbetade inom flera sektorer. CSF är standardsoberoende, dvs. man kan använda CSF och dess metodik tillsammans med andra standarder, beroende på vad respektive orga- nisation redan valt att använda. CSF kan därmed sägas vara ett slags ”metaspråk” för säkerhetsåtgärder.129 CSF kan även användas av orga- nisationers ledningar för att förstå nuläget samt besluta om vilken profil den egna organisationen ska ha och utgör samtidigt ett verktyg för ledningarna att mäta och styra arbetet.
NIST SP
NIST SP
129Genom att organisationer som i sig valt olika standarder (t.ex. NIST RMF, ISO 27000, CMMC etc.) alla ganska lätt kan karaktärisera sig via CSF, så är CSF ett sätt att lätt skapa jämförelser mellan olika organisationers införda säkerhetsåtgärder.
130Publikationen utvecklades till följd av NIST:s ansvar enligt Federal Information Security Modenization Act 2014 (FISMA). Vid framtagandet av standarder och riktlinjer med anledning av FISMA efterhör NIST med andra federala myndigheter och privat sektor för att förbättra informationssäkerhet och effektivitet samt tillse att publikationerna kompletterar standar- derna och riktlinjerna som antagits för att skydda nationella säkerhetssystem. NIST arbetar också med diverse aktörer för att upprätta kartläggningar av och relationer till säkerhetsstan- darder och riktlinjer som utvecklats av International Organization for Standardization and International Electrotechnical Commission (ISO/IEC). NIST innehåller ett flertal delmoment för anpassning till den egna verksamheten.
315
Internationell utblick |
SOU 2021:63 |
adresserar krav tvärs över den federala regeringen och kritisk infra- struktur.
NIST SP
FIPS Publication 200 är en obligatorisk federal standard utveck- lad av NIST som uppställer minimikrav på säkerhet i federala in- formationssystem och kan kombineras med NIST SP
Kommersiella lösningar för hantering av klassificerad information
NSA:s program Commercial Solutions for Classified (CSfC) gör det möjligt för kommersiella produkter att användas i lagerlösningar som skyddar klassificerad
131Ansvaret för utförandet av säkerhetskontrollbedömningar ligger ofta hos informations- systemets ägare. Kontrollbedömningarna visar att de kontroller som organisationen valt imple- menteras korrekt och uppfyller kraven på säkerhet i författningar och standarder.
316
SOU 2021:63 |
Internationell utblick |
Upphandling av informationssäkerhetssystem
USA har haft regler som krävt att vissa myndigheter ska begära god- kännande av tillsynsmyndigheter vid upphandling av informations- säkerhetssystem.132 Federal Acquisition Regulation är en uppsättning regler om offentlig upphandling som omfattar alla upphandlingar och avtalsprocedurer associerade med den amerikanska regeringen. DoD är det administrativa organet bakom regelverket.
Enligt Defence Federal Acquisition Regulation Supplement (DFARS, paragraf
IKT i säkerhetskänslig verksamhet
Federala informationssystem och nationella säkerhetssystem
Nationella säkerhetssystem (NSS)134, och även många andra infor- mationssystem, är föremål för avancerade cyberhot.
NIAP (se ovan) samarbetar med användare av nationella säker- hetssystem för att säkerställa att skyddsprofiler tillhandahåller en strömlinjeformad certifieringsväg för kommersiella informationssäker- hetsprodukter som används i deras system. Som ovan nämnts kan CSfC möjliggöra användning av kommersiella produkter i lösningar som skyddar klassificerad
132I Cybersecurity law overview – a report by Mannheimer Swartling, april 2017, s. 4 (fotnot 10), anges att regleringen sedan 2016 verkar kräva en självbedömning.
133Råden kan lämna utrymme för alternativa metoder att bibehålla säkerhet så länge tillverka- ren meddelar behörig myndighet om ändringarna och får dem godkända. I slutändan kan öve- rensstämmelse med DFARS endast uppnås genom godkännande av DoD.
134Ett nationellt säkerhetssystem är ett informationssystem (inklusive alla telekommunika- tionssystem) som används eller drivs av en myndighet och har betydelse för nationell säkerhet.
317
Internationell utblick |
SOU 2021:63 |
Den riskhanteringsprocess som beskrivs i NIST SP
CNSS Instruction 1253 tillhandahåller, med stöd av det nationella säkerhetsdirektivet (National Security Directive 42), federala organi- sationer en process för säkerhetskategorisering av nationella säkerhets- system som hanterar nationell säkerhetsinformation.137 Instruktionen hänvisar också till en omfattande uppsättning säkerhetskontroller och förbättringar förknippade med valet av den bestämda nivån av potentiell påverkan (eller förlust) på konfidentialitet, integritet och tillgänglighet som kan tillämpas på alla nationella säkerhetssystem som utvecklats och används av den nationella säkerhetsgemenskapen138. Följaktligen tillhandahåller instruktionen även skräddarsydda väg- ledningar, så att organisationer kan välja en robust uppsättning säker- hetskontroller för att säkra sina nationella säkerhetssystem, baserat på bedömd risk. Instruktionen är avsedd att användas som ett verk- tyg av ingenjörer för informationssäkerhetssystem, auktoriserade tjänstemän och informationssäkerhetsansvariga på myndigheter för att kunna välja och komma överens om lämpligt skydd för ett natio- nellt säkerhetssystem.
Alla federala organisationer som driver, använder eller förvaltar nationella säkerhetssystem måste etablera och implementera ett risk- hanteringsprogram för informationsassurans (IARMP). Det finns vidare
135Den innehåller även riktlinjer om grundläggande säkerhetskontroller.
136Auktoriseringsbeslutet är direkt kopplat till hanteringen av risker relaterade till upphand- ling och användning av komponentprodukter, system och tjänster från externa leverantörer.
137Kunder med nationella säkerhetssystem (NSS) måste följa CNSSI 1253:s krav och kontroller. Dessas system testas mot instruktionens säkerhetskontroller.
138Dessa federala organisationer är ansvariga för att processa klassificerad säkerhetsinforma- tion och har ett behov av att säkert kunna överföra sekretessbelagd information mellan säkerhets- domäner utan att kompromissa säkerheten hos informationen eller respektive domän.
318
SOU 2021:63Internationell utblick
ett riskhanteringsramverk (RMF) som syftar till att underlätta organisationernas riskhantering.
CNSSI 1253 bygger på NIST SP
Därefter görs en tredjepartsbedömning140 genom att en organisa- tion oberoende validerar en aktörs systems överensstämmelse med CNSSI 1253. Undersökande organisation intygar att en säkerhets- bedömningsrapport (SAR) enligt CNSSI 1253 från berörd aktör ger en fullständig bedömning av de tillämpliga säkerhetskontroller som anges i säkerhetsbedömningsplanen (SAP). SAR dokumenterar test- ningen för att validera systemet mot ett urval av CNSSI
I många fall behövs ytterligare säkerhetskontroller eller förbätt- rade kontroller för att möta de specifika hoten mot eller sårbarheterna hos ett nationellt säkerhetssystem.
Ytterligare tekniska säkerhetsåtgärder för informationssystem
Den nationella säkerhetsgemenskapen har policyn att medlemsorga- nisationer ska tillämpa ömsesidighet med avseende på certifiering av system och systemkomponenter i möjligaste mån.142 I CNSS 1253
139Det är chefen för organisationen som avgör vilken metod för val av säkerhetskontroller som ska användas för det egna nationella säkerhetssystemet. Ett nationellt säkerhetssystem – som tillhandahåller unika funktioner, fungerar i olika miljöer och är föremål för avancerade cyberhot – förutsätter att en riskbaserad metod antas på företagsnivå när de slutliga säkerhets- kontrollerna ska implementeras.
140Denna ska vara godkänd av tillämplig standard.
141Testade säkerhetskontroller kan analyseras för att bestämma vilka säkerhetskontroller som ska testas för att säkerställa överensstämmelse med CNSSI 1253:s säkerhetsbaslinjer.
142För att stödja reciprocitet mellan nationella säkerhetsorganisationer kräver många para- metrar i NIST SP
319
Internationell utblick |
SOU 2021:63 |
definieras värden143 för tillämpliga kontroller som skapar en standard för att certifiera att en kontroll mildrar ett hot. I olika risktrösklar eller hotscenarier kan vissa ansvariga operatörer kräva att system avviker från denna standard. I dessa situationer kan ytterligare tek- niker läggas till, eller arkitektoniska implementeringar modifieras för att på ett adekvat sätt minska risken. Genom att upprätta en standard för nyckelparametrar har organisationer en känd baslinje när de accepterar certifieringar av teknik eller system från andra orga- nisationer inom den nationella säkerhetsgemenskapen och behöver inte duplicera den nivån av certifiering.144
Organisationstjänstemän, såsom informationssystemets ägare, uppdragsgivare, auktoriserare och informationssäkerhetschefer, bör bestämma de användningsbegränsningar som, med anledning av cyber- hot, krävs för systemet. Exempel på användningsbegränsningar är begränsning av antingen informationen som ett informationssystem kan bearbeta, lagra eller överföra eller sättet på vilket ett uppdrag automatiseras, att förbjuda externa informationssystem åtkomst till kritisk organisationsinformation genom att ta bort utvalda system- komponenter från nätverket (dvs. ”air gapping”), samt att förbjuda information med måttlig eller stor påverkan på ett informations- system som allmänheten kan få tillgång till, såvida inte ett uttryckligt beslut fattas som tillåter sådan åtkomst.
Alla företag som ska leverera på uppdrag av DoD måste nå upp till en viss typ av krav och certifieringssystem som USA utvecklat. Det rör sig om fem nivåer av säkerhet enligt Cybersecurity Maturity Model Certification (CMMC) – ett obligatoriskt regelverk för leve- rantörer145 som DoD nyligen tagit fram.146 CMMC granskar och kom- binerar olika cybersäkerhetsstandarder och bästa praxis och kart-
143T.ex. ytterligare precisering av hur och i vilken omfattning vissa kontroller ska ske när det gäller nationella säkerhetssystem.
144När ömsesidigt erkännande av certifiering ska utsträckas över auktoriserande tjänstemän, eller när ett system tillhandahåller säkerhet för ett annat system, förhandlas värdena för dessa parametrar mellan relevanta auktoriserare, och resultaten dokumenteras för båda systemen.
145Detta gäller bl.a. för svenska företag som Saab och Combitech.
146CMMC utvecklades av DoD i samarbete med Carnegie Mellon University och Johns Hopkins University Applied Physics Laboratory. Det primära målet med modellen är att skydda information från försvarsindustriella och tekniska basen (DIB). Informationen som omfattas av CMMC är klassificerad som antingen ”Federal Contract Information”, information från eller till regeringen enligt kontrakt som inte är avsett för offentliggörande, eller ”Controlled Unclassified Information”, information som kräver skydd eller spridningskontroll i enlighet med författningar och regeringsövergripande policy. CMMC mäter cybersäkerhetsmognad och tillhandahåller bästa praxis tillsammans med ett certifieringselement för att säkerställa implementeringen av metoder som är associerade med varje mognadsnivå. Den senaste versio- nen släpptes 2020.
320
SOU 2021:63 |
Internationell utblick |
lägger dessa kontroller och processer över flera mognadsnivåer som sträcker sig från grundläggande cyberhygien till avancerad. CMMC är endast tillämplig på
CMMC kan sägas bestå av en serie åtgärder inom olika kategorier av områden som företag har att genomföra. CMMC delas in i fem mognadsnivåer där organisationen behöver både införa egna konkreta åtgärder (som till stor del kommer från NIST RMF) inom respektive kategori samt egen förmåga att självständigt hantera säkerhetsarbetet. Ju högre mognadsnivå, desto större fokus sätts på organisationens egen personal, kompetens och förmåga att hänga med i teknikut- vecklingen och täppa till säkerhetsproblem för egen maskin (utan att krav på varje enskild åtgärd ingår i listan av åtgärder från NIST). Varje organisation måste underkastas extern kontroll och bedömning (dvs. certifiering). DoD ställer sedan krav på vilken nivå organisatio- ner måste ha nått för att få delta i mer eller mindre kritiska upp- handlingar.
CMMC på lägsta nivån kräver inte utförligt pappersarbete och omfattande dokumentering utan inför ett antal obligatoriska säker- hetsåtgärder. På nivå 2 behöver man bygga bl.a. ledningssystem. På nivå 3 krävs ett fulländat certifieringssystem, och många krav enligt
147NSA utvecklar
148På nivå 3 inkluderar CMMC de 110 säkerhetskrav som specificeras i NIST SP
321
Internationell utblick |
SOU 2021:63 |
som säkerhetsanalyseras på ett effektivt sätt. Härigenom tilldelar led- ningen resurser åt cybersäkerhetsarbetet. Cyberskyddsansvariga måste ha viss kompetensnivå och ska även genomgå kurser för att få behöv- ligt certifikat i sin arbetsroll.
Sammanfattning av särskilda krav på IKT i säkerhetskänslig verksamhet
Av inhämtade uppgifter framgår att det finns departement och cen- trala myndigheter i USA med ansvar för nationell informations- och cybersäkerhet. Det finns bl.a. krav på att driftsättningen av federala informationssystem ska godkännas av behöriga federala tjänstemän. Nationella säkerhetssystem som behandlar nationell säkerhetsinfor- mation fordrar ytterligare säkerhetskrav som behöver godkännas. Vidare ska sådana system genomgå en oberoende tredjepartsbedöm- ning där systemets överensstämmelse med särskilda instruktioner på området valideras. I USA kan kommersiella informationssäkerhets- produkter i förhållandevis stor utsträckning användas för att skydda nationella säkerhetssystem och klassificerad information (om lös- ningarna är godkända av NSA och assuransfunktionerna validerade).149
9.10Kanada
Aktörer inom informations- och cybersäkerhet
CSE – kommunikationssäkerhet
I Kanada har den statliga myndigheten Communications Security Establishment Canada (CSE) det främsta ansvaret för
149Det framstår som att utgångspunkten i USA är att ansvaret för godkännande av system ytterst ska ligga hos en enskild person/personal, snarare än på organisationen som sådan.
150Myndigheten får använda och avslöja infrastrukturinformation för att testa system eller genomföra cybersäkerhets- och informationssäkringsaktiviteter på den infrastruktur från vilken informationen förvärvades. Information om en kanadensare eller en person i Kanada kan anskaffas tillfälligtvis under utförandet av aktiviteter enligt ett lagligen grundat/utfärdat tillstånd.
322
SOU 2021:63 |
Internationell utblick |
nätverk och system samt skydda mot cybersäkerhetshot. Vidare ska myndigheten leda utvecklingen av betrodda leverantörer för staten och kritisk infrastruktur samt motverka risken för opålitlig utrust- ning. Ansvarsområdet omfattar också upphandling, distribution, kon- troll och användning av kryptografiska enheter och krypteringsnyckel- material för nationella säkerhetssystem.
CSE:s verksamhet inbegriper bl.a. testning och evaluering av pro- dukter, mjukvara och system.151 Som certifieringsorgan utfärdar CSE nödvändiga certifikat om godkännande av evaluerare. CSE driver också det nationella cybersäkerhetscentret (se nedan).
Nationellt cybersäkerhetscenter
The Canadian Centre for Cyber Security är landets myndighet för cybersäkerhet. Centret samarbetar med både den offentliga och pri- vata sektorn. Centret bedriver operativ cybersäkerhetsverksamhet och leder regeringens arbete med anledning av cybersäkerhetshändelser. Myndigheten inrymmer även den nationella
Centrets verksamhetsområden inbegriper därutöver bl.a. natio- nell expertrådgivning och praktisk support i fråga om cybersäkerhet, utveckling av cybersäkerhetsprodukter samt försvar av nationella cybersystem (inklusive statliga system).
Centret är även nationellt certifieringsorgan för Common Criteria- evalueringar som utförs i Kanada. Centret driver det kanadensiska Common
151CSE kan få ett cybersäkerhetsbemyndigande som, i cyber- och informationssäkerhetssyfte, tillåter myndigheten att få tillgång till en federal institutions informationsinfrastruktur eller information av betydelse för staten och förvärva all information som härrör från, riktas till, lagras på eller överförs på eller genom den infrastrukturen i syfte att hjälpa till att skydda den från ofog, obehörig användning eller störningar. Myndigheten kan även få ett bemyndigande att utföra angivna aktiviteter för att främja defensiva eller aktiva cyberoperationer samt andra aktiviteter som är rimliga och nödvändiga för verksamheten.
152Direktiven avser bl.a.
323
Internationell utblick |
SOU 2021:63 |
Public Safety Canada
Public Safety Canada (PSC) är ett departement som skapades 2003 för att säkerställa samordning mellan alla federala departement och myndigheter som ansvarar för nationell säkerhet. Uppdraget är att skydda landet från olika risker som naturkatastrofer, brott och terror- ism genom ökad nationell säkerhet och motståndskraft. Departe- mentet stödjer och rapporterar till ministern för allmän säkerhet och beredskap i frågor som rör allmän säkerhet och nödhantering som inte tilldelats någon annan federal organisation. Departementet arbetar också med andra statliga organisationer, gemenskaper, privat sektor och internationella partners på säkerhetsområdet, bl.a. i syfte att skydda kritisk infrastruktur och kritisk information.
PSC ansvarar också för Cyber Incident Management Framework for Canada (CIMF) som är ett vägledande dokument för guvernö- rer, ägare och operatörer av kritiska infrastrukturer samt andra sek- torpartners (se nedan).
Inom PSC finns Canadian Cyber Incident Response Center (CCIRC) som ansvarar för att övervaka och tillhandahålla råd om cyberhot och samordna det nationella svaret på eventuella cyber- säkerhetsincidenter. CCIRC:s fokus är att skydda nationell kritisk infrastruktur mot cyberattacker.
Reglering av informations- och cybersäkerhet
Nationell cybersäkerhetsstrategi
Kanada har antagit en nationell cyberstrategi från 2018 som bl.a. betonar behovet av samarbete mellan regeringen och privat sektor för att öka cybersäkerheten i landet.153 Skyddet av kritisk infrastruk- tur154 är ett prioriterat område.
153Se
154Att förbättra motståndskraften hos kritisk infrastruktur genom en lämplig kombination av säkerhetsåtgärder för att hantera avsiktliga och oavsiktliga incidenter och störningar är ett verksamhetsområde för Public Safety Canada (se nedan).
324
SOU 2021:63 |
Internationell utblick |
Ramverk för hantering av cyberincidenter
Cyber Incident Management Framework (CIMF) publicerades 2013 av PSC och är utformat för att komplettera och knyta samman be- fintliga ramar och planer för federala, provinsiella och territoriella nödhanteringsramverk och
Nationella certifieringssystem
Som ovan nämnts finns det en nationell ordning för certifiering av
CyberSecure Canada Certification är ett annat certifieringspro- gram som hjälper små och mellanstora företag att implementera certifieringskrav för ökat skydd mot cyberattacker. Programmet in- begriper ett antal säkerhetskontroller som utvecklats i samarbete med det nationella cybersäkerhetscentret. Organisationerna måste imple- mentera säkerhetskontrollområdena för att kunna erhålla certifier- ing enligt programmet.
The Baseline Cyber Security Controls for Small and Medium Organizations är ett dokument ämnat för små och medelstora organisa- tioner som vill ha rekommendationer för att förbättra sin cybersäker- het. Dokumentet presenterar det nationella cybersäkerhetscentrets grundläggande cybersäkerhetskontroller för de nationella företagen.
325
Internationell utblick |
SOU 2021:63 |
MITS – minimikrav på
Operational Security Standard: Management of Information Tech- nology Security (MITS) definierar grundläggande säkerhetskrav som federala departement och myndigheter måste uppfylla för att säker- ställa säkerheten för informations- och
Departementen och myndigheterna måste regelbundet granska ackrediteringen av systemen eller tjänsterna om dessa förändrats av- sevärt eller om det är motiverat på grund av förändringar i riskmiljön.
För vanliga system eller tjänster är the Government of Canada Chief Information Officer ackrediteringsmyndighet. För system eller tjänster som är specifika för ett departement ansvarar program- eller tjänsteleverantören för ackreditering. För system eller tjänster som delas av två eller flera organisationer är chefen för programmet eller tjänsten ackrediteringsmyndighet.
Departementet ska genomföra en årlig självbedömning av sina
Den statliga säkerhetspolicyn kräver att departementen tillämpar sanktioner i förhållande till
155Sådana bevis kan innehålla resultaten av alla tillämpliga hot- och riskbedömningar, en be- dömning av affärseffekter, en integritetsbedömning, en sårbarhetsbedömning, säkerhetstester och produktevaluering, självbedömningar, revisioner och säkerhetsgranskningar och relaterade juridiska eller politiska bedömningar som visar överensstämmelse med relevant lagstiftning eller policy.
326
SOU 2021:63 |
Internationell utblick |
När aktörer ingår kontrakt med den kanadensiska regeringen blir vissa krav på
För att få behörighet att processa känslig information elektroniskt måste den berörda organisationen först ha genomgått en säkerhets- prövning eller ha ett säkerhetsgodkännande för anläggningen. Dessa åtgärder ska säkerställa att endast betrodda individer och organisa- tioner med ett giltigt behov av kunskap får tillgång till känslig myn- dighetsinformation (om t.ex. militära planer). Vidare krävs en förmåga att skydda dokument. Dessutom kan det behövas s.k. organisations- godkännanden när det gäller informationssäkerheten. Organisatio- nerna måste även underkasta sig
I federala kontrakt mellan regeringen och privata organisationer ingår klausuler med säkerhetskrav157. När organisationer tilldelas kon- trakt med regeringen som kräver att de använder sina egna
156Efter
157Säkerhetskrav anger de säkerhetsnivåer som krävs för att skydda känslig information, till- gångar och arbetsplatser.
158Ytterligare
327
Internationell utblick |
SOU 2021:63 |
En precisering av säkerhetskraven för ett kontrakt kan återfinnas i en begäran om förslag respektive checklistan för säkerhetskrav, Security Requirements Check List (TBS/SCT
The Contract Security Manual (CSM) beskriver de krav som orga- nisationer inom den privata sektorn måste följa för att skydda statlig information och tillgångar som tillhandahålls eller produceras av organisationer som tilldelats ett statligt kontrakt med säkerhetskrav. Det gäller organisationer som är registrerade i PSPC:s CSP och alla kontrakt – kanadensiska eller utländska – som PSPC ansvarar för. Denna handbok avhandlar bl.a. ovan nämnda checklista för säkerhets- krav, säkerhetskontroller och elektronisk informationssäkerhet.
159Gäller information eller tillgångar som, om de äventyras, kan förväntas orsaka skada på ett
160Vidare krävs behörighet för tillgång till
161Den avtalsslutande säkerhetsmyndigheten är ansvarig för att säkerställa att leverantörerna uppfyller säkerhetskraven i checklistan.
162Ingen information som rör ett skyddat eller klassificerat statligt kontrakt får släppas av leverantörer utan föregående skriftligt godkännande.
328
SOU 2021:63 |
Internationell utblick |
Sammanfattning av särskilda krav på IKT i säkerhetskänslig verksamhet
Av inhämtade uppgifter framgår att det finns centrala myndigheter i Kanada med ansvar för nationell informations- och cybersäkerhet och certifiering av IKT. Vidare måste federala departement och myn- digheter ha sina
Organisationer som ingår kontrakt med regeringen och har it- system som ska behandla säkerhetsklassificerad information (mellan leverantören och en statlig myndighet) måste få sitt system godkänt av en myndighet (PSPC) före det att arbetet kan påbörjas och syste- met används. Säkerhetskraven är emellertid specifika för varje kon- trakt och beror på hur känslig den berörda informationen är.
9.11Nya Zeeland
Aktörer inom informations- och cybersäkerhet
Byrån för kommunikationssäkerhet
Government Communications Security Bureau (GCSB) är ett departe- ment med uppdrag att bidra till Nya Zeelands nationella säkerhet genom att tillhandahålla informations- och cybersäkerhet till landets regering och kritiska infrastrukturorganisationer.163 GCSB samlar in och analyserar underrättelser samt samarbetar med och ger stöd åt andra nationella myndigheter. Myndigheten har två kommunika- tionsavlyssningsstationer samt kommunikations- och kryptografi- specialister i sin personal.
Nationellt cybersäkerhetscenter
Inom GCSB finns National Cyber Security Centre (NCSC) som har i uppdrag att samordna landets cybersäkerhetsaktiviteter. Centret tillhandahåller avancerade funktioner och tjänster för detektering av cyberhot och störningar till statliga myndigheter och organisationer av nationell betydelse (såsom tillhandahållare av kritisk infrastruk-
163På ett mer övergripande plan ansvarar premiärministerns och kabinettets departement för rådgivning om nationell säkerhet till regeringen.
329
Internationell utblick |
SOU 2021:63 |
tur). Centret svarar vidare på kraftfulla cyberincidenter på nationell nivå och genomför cyberhotsanalyser. Man främjar en säkerhets- kultur baserad på standarder som anges i regeringens skyddskrav, Protective Security Requirements (PSR) och New Zealand Informa- tion Security Manual (NZISM).
Säkerhets- och underrättelsetjänst
New Zealand Security Intelligence Service (NZSIS) är en statlig myn- dighet som har till uppdrag att skydda Nya Zeeland genom att utreda hot mot den nationella säkerheten och analysera underrättelser för att kunna ge nationella beslutsfattare god säkerhetsrådgivning. NZSIS tillhandahåller också ett antal tjänster till andra myndigheter, bl.a. råd om personal- och fysisk säkerhet. Man ansvarar även för att under- hålla landets statliga säkerhetsklassificeringssystem (New Zealand Government Security Classification System).
DIA – departementet för inrikes frågor
Office of the Government Chief Information Officer (GCIO) vid The Department of Internal Affairs (DIA) tillhandahåller rådgivning och förvaltning åt sektor- och statliga system och
The Security and Related Services Panel är en grupp branschexperter som är har i uppdrag av regeringen att förse myndigheter med IKT- säkerhetstjänster och råd om säkerhets- och sekretessfrågor.
330
SOU 2021:63 |
Internationell utblick |
NCPO – nationellt cyberpolicykontor
National Cyber Policy Office (NCPO) leder utvecklingen av landets cybersäkerhetspolicy och ger politiska råd till regeringen om inve- steringar i cybersäkerhetsaktiviteter. NCPO driver landets natio- nella CERT, CERT NZ. CERT NZ har till uppgift att identifiera hot och sårbarheter samt tillhandahålla tjänster för incidentrappor- tering och samordning av gensvar. CERT NZ arbetar med flera olika organisationer på cybersäkerhetsområdet.
Reglering av informations- och cybersäkerhet
Nationell cybersäkerhetsstrategi
Nya Zeelands senaste nationella cybersäkerhetsstrategi är från 2019.164 Strategin betonar behovet av samarbete mellan offentlig och privat sektor samt internationellt för att öka cybersäkerheten i landet. Vidare framhålls vikten av utbildningsåtgärder för att öka medbor- garnas cybersäkerhetsmedvetande. Att skydda samhällsviktig infor- mationsinfrastruktur i landet är ett annat område som prioriteras. Slutligen vill man även fokusera på att investera mer i individer och resurser med särskild kompetens på cybersäkerhetsområdet.165
AISEP – program för evaluering av informationssäkerhet
Australasian Information Security Evaluation Program (AISEP) syf- tar till att säkerställa att evaluerade säkerhetsprodukter är tillgängliga för att tillgodose behoven hos australiensiska och nyzeeländska myndigheter. AISEP möjliggör evaluering och certifiering av pro- dukter enligt Common Criteria (CC) och fortsatt underhåll av assuran- sen hos evaluerade produkter. En annan av programmets funktioner avser erkännande av produkter evaluerade enligt en utländsk ordning med vilken AISEP har ett avtal om ömsesidigt erkännande (van- ligtvis CCRA).
The AISEP Evaluated Products List (EPL) underhålls av Australian Signals Directorate (ASD) och innehåller en lista över godkända pro-
164Se
165Det kan tilläggas att tillsyn på cybersäkerhetsområdet utövas på sektoriell basis.
331
Internationell utblick |
SOU 2021:63 |
dukter för skyddet av klassificerad information, bl.a. godkända skydds- profiler.
Innan myndigheter väljer en produkt som inte utvärderats av AISEP rekommenderas man att kontakta GCSB för att efterhöra om produkten kommer att erkännas i Nya Zeeland när den har full- ständig evaluering i en utländsk ordning. Evalueringar som genom- förs enligt CC i andra nationer kan erkännas av GCSB under AISEP. Att en produkt genomgått
Närmare om krav på informationssäkerhet
NCSC rekommenderar att myndigheter i sina nätverk och system använder produkter som regeringen godkänt då dessa ger högre nivåer av assurans i förhållande till säkerhetsöverväganden. Centret ser vidare certifiering av organisationers informationssystem som en väsentlig komponent av styrnings- och assuransprocessen.
PSR – säkerhetsskyddskrav
Protective Security Requirements (PSR) ges ut av NZSIS och anger regeringens krav på informationssäkerhet. Säkerhetskraven anger bl.a. vad statliga myndigheter ska beakta för att säkerställa att de hanterar säkerheten ändamålsenligt och effektivt. PSR innehåller grundläg- gande säkerhetskrav och riktlinjer för styrning och säkerhet samt support för bästa praxis, och inkorporerar även New Zealand Infor- mation Security Manual (NZISM, se nedan). Ett av de obligatoriska kraven enligt PSR är att berörda organisationer årligen ska använda en evidensbaserad bedömningsprocess för att ge assurans om att organisationens säkerhetsförmåga är ändamålsenlig (GOV8). På be- gäran ska en försäkringsrapport tillhandahållas regeringen.167 PSR innehåller också en process för årlig självbedömning av säkerhet och
166Se www.nzism.gcsb.govt.nz/xml/index/3212.
167I ett
332
SOU 2021:63 |
Internationell utblick |
assurans. Alla statliga organisationer är skyldiga att hålla information om regeringen och statens resurser säker.168
Vidare behöver
PSR rekommenderar även att andra organisationer än statliga betraktar angivna krav som bästa praxis.
NZISM – handbok om informationssäkerhet
NZISM är en omfattande och detaljerad handbok utgiven av GCSB som beskriver processer och
Enligt NZISM ska respektive myndighetschef ansvara för infor- mationssäkerheten inom sin organisation. Handboken, som används av såväl myndigheters informationssäkerhetschefer som leverantö- rer, entreprenörer och konsulter som tillhandahåller tjänster till myndigheter, innehåller ett ramverk för certifiering och ackrediter- ing samt tekniska minimisäkerhetsstandarder (i linje med bl.a. ISO/ IEC). Information klassificerad som konfidentiell, hemlig eller kvali-
168Säkerhetsåtgärderna måste även uppfylla kraven i New Zealand Government Security Classification System.
169Handboken har sitt ursprung i Australiens ISM (se nedan), men är i dag helt omskriven.
170Är det fråga om nationell säkerhet kan dock undantag aktualiseras.
333
Internationell utblick |
SOU 2021:63 |
ficerat hemlig är föremål för fler kontroller än övrig information.
Iden process som handboken föreskriver för
Det är systemägaren som är ansvarig för den övergripande driften av informationssystemet. Systemägaren måste därmed även se till att systemet är ackrediterat för att uppfylla organisationens operativa krav och att ackrediteringen underhålls.173 Myndigheterna får inte använda ett system utan giltig ackreditering såvida inte ackrediterings- organet beviljat dispens.
För myndigheter med system som hanterar information som rör nationell säkerhet är GCSB:s generaldirektör behörig ackrediterings- myndighet oavsett informationens klassificeringsnivå. Också använd- ning av
171Certifiering förutsätter att valda kontroller är lämpliga och överensstämmer med PSR och särskilt de relevanta
172Uppdraget att utarbeta certifiering ligger hos värdmyndigheten eller den ledande organi- sationen.
173Ledningen eller systemägaren ska vidare avge formella påståenden om vissa aktiviteter för informationssystemet.
174Det kan tilläggas att s.k. fack upprättas för att ge ytterligare skydd åt information av be- tydelse för nationell säkerhet. I övriga fall då informationen är begränsat hemlig eller systemet klassificerats som konfidentiellt och högre har respektive organisations vd eller det ledande organet att acceptera kvarvarande säkerhetsrisk med driften av informationssystemet (vilket ackrediteringen förutsätter).
334
SOU 2021:63 |
Internationell utblick |
När myndigheters system hanterar känslig information ämnad endast för nationellt bruk (”New Zealand Eyes Only”) måste myn- digheterna säkerställa att en nyzeeländsk medborgare, som arbetar för regeringen, alltid har kontroll över systemet och informationen. Sådana system är särskilt känsliga och kräver ytterligare säkerhetsåt- gärder vid anslutning till andra system.175
Produkter som tillhandahåller säkerhetsfunktioner för att skydda klassificerad information evalueras av assuransskäl. Myndigheter som väljer högassuransprodukter måste kontakta GCSB och uppfylla alla produktspecifika krav innan något köp görs.176
För att säkerställa nätverkssäkerhet och funktionalitet behöver varje ändring av ett nätverk godkännas och kontrolleras genom lämpliga ledningsprocesser. När det gäller system klassificerade konfidentiella, hemliga eller kvalificerat hemliga måste myndigheterna implemen- tera nätverksåtkomstkontroller i alla nätverk. Alla myndigheter som överväger att distribuera ett trådlöst kvalificerat hemligt nätverk be- höver ansöka om godkännande från GCSB innan de initierar några nätverksprojekt. Myndigheter får inte använda sådana trådlösa nät- verk såvida inte säkerheten för myndighetens trådlösa distribution godkänts av GCSB.177
Sammanfattning av särskilda krav på IKT i säkerhetskänslig verksamhet
Av inhämtade uppgifter framgår att det finns departement i Nya Zeeland med ansvar för informations- och cybersäkerhet, bl.a. när det gäller nationell säkerhet. Statliga myndigheter som hanterar hem- lig information om nationen är skyldiga att ständigt ha kontroll över sina system och hålla informationen säker.
175Myndigheter som har åtkomst till ett system som innehåller hemlig information om natio- nella intressen och ett system med samma klassificering som inte är ackrediterat för att behandla sådan information måste använda en evaluerad produkt med assuransnivå EAL2 (eller högre) eller motsvarande skyddsprofil.
176Myndigheter måste vidare bekräfta integriteten hos programvara som de installerar innan de distribueras i ett system för att säkerställa att ingen oavsiktlig programvara installeras sam- tidigt.
177Alla trådlösa åtkomstpunkter som används för statliga trådlösa nätverk måste vara
335
Internationell utblick |
SOU 2021:63 |
formation nationell säkerhet måste myndighetens system ackredite- ras av den nationella byrån för kommunikationssäkerhet (GCSB) innan ett resulterande formellt godkännande av systemets driftsätt- ning kan ske. Vidare kräver system och tjänster med kompartmen- taliserad eller förbehållen (”caveated”) information klassificerad som konfidentiell och högre ackreditering av generaldirektören på GCSB (eller formell delegat). Också användning av
9.12Australien
Aktörer inom informations- och cybersäkerhet
ASD – Australienska signaldirektoratet
Australian Signals Directorate (ASD) är en statlig myndighet med uppdraget att försvara Australien från globala hot och att främja Australiens nationella intressen. Ytterst ansvarig för ASD är För- svarsministern. ASD arbetar med underrättelse- och säkerhetstjänst samt cybersäkerhet för att stödja regeringen, försvarsmakten och samhället i stort. ASD har funktioner inom kryptografi och IKT. ASD utför bl.a. produktevalueringar av programvara och
Nationellt cybersäkerhetscenter
Australian Cyber Security Center (ACSC) är en del av ASD. ACSC leder och samordnar den australiensiska regeringens insatser för ökad nationell cybersäkerhet. Centret utgör ett nav för samarbete mellan offentlig och privat sektor samt inom informationsdelning avseende cybersäkerhet. Centret bistår med cybersäkerhetsrådgivning och stöd i hela det australienska samhället. Inom centret finns den nationella
ACSC certifierar produktevalueringar vilka utförs av licensierade kommersiella evalueringsföretag (AISEF, se nedan) i enlighet med
336
SOU 2021:63 |
Internationell utblick |
Common Criteria som en del av det australiensiska programmet för evaluering av informationssäkerhet, AISEP.
AISEF och ACA – evalueringar
Australian Information Security Evaluation Facility (AISEF) är ett privat företag licensierat av ASD och ackrediterat av National Association of Testing Authority, Australia (NATA), för att genom- föra evalueringar i enlighet med Australasian Information Security Evaluation Program, AISEP (se nedan). Utvärderingsaktiviteterna är certifierade av Australian Certification Authority (ACA). Samtliga evalueraringsföretag måste godkännas av ACA. AISEF och ACA genomför evaluerings- och certifieringsaktiviteterna genom samarbete.
National Association of Testing Authority, Australia (NATA) är Australiens nationella ackrediteringsorgan för ackreditering av organ för bedömning av överensstämmelse. NATA är också Australiens s.k. övervakningsmyndighet inom Organisation for Economic Co- operation and Development (OECD).
NATA har ingått ett samförståndsavtal (Memorandum of Under- standing) med den australienska regeringen som erkänner dess nyckelroll i Australiens tekniska infrastruktur. Regeringen rekom- menderar användning av
NATA tillhandahåller oberoende assurans om teknisk kompe- tens och integritet hos organ för bedömning av överenstämmelse. Detta görs för kunder som behöver förtroende för leveransen av sina produkter och tjänster. Förutom ackreditering tillhandahåller NATA bedömningar och utbildningstjänster till laboratorier och tekniska anläggningar.
178Avtalet anger vidare att NATA är skyldig att vidta alla ackrediteringsaktiviteter opartiskt i enlighet med kraven i ISO/IEC 17011 och tillhandahålla nationellt ledarskap genom att ge ut
ackrediteringsprogram som medför att ackrediterade organ möter nationella intressen. I tillämpliga fall ska NATA:s procedurer överensstämma med internationella standarder. Dokumentet innehåller även ett antal ytterligare åtaganden som syftar till att involvera andra viktiga aktörer i aktiviteterna och skapa transparens. Regeringen å sin sida åtar sig att assistera NATA finansiellt och informera organisationer om NATA:s roll som nationellt ackrediter- ingsorgan. Vidare kräver regeringen att just NATA utför ackreditering i vissa situationer.
337
Internationell utblick |
SOU 2021:63 |
NATA har också undertecknat internationella ackrediterings- avtal som föranleder ömsesidigt erkännande.
IRAP
The Information Security Registered Assessors Program (IRAP) är
Reglering av informations- och cybersäkerhet
Allmänt
Lagtext om det nationella cybersäkerhetsarbetet är begränsad i Australien. Landet lägger visserligen stora ansträngningar på cyber- säkerhet, men gör det utan lagstiftning och förlitar sig mer på ”mjuk lag” (soft law).179
Nationell cybersäkerhetsstrategi
2020 antog Australien en ny cybersäkerhetstrategi.180 I strategin an- ges att regeringen kommer att stödja företagens cybermotstånd bl.a. genom att dela hotinformation, ställa tydliga förväntningar på roller och stärka partnerskap. Regeringen avser vidare att arbeta med in- dustrin för att skydda landets mest kritiska system från mer all- varliga hot. Dessutom ges brottsbekämpande myndigheter större befogenhet att skydda medborgarna online.
Strategin framhåller även att berörda företag bör producera säkra produkter och tjänster samt att en frivillig uppförandekod kommer att beskriva regeringens säkerhetsförväntningar för internetanslutna konsumentenheter som medborgarna använder dagligen. Regeringen bedömer att lagstiftningsreformer och ett samarbete med industrin
179Se Cybersecurity law overview – a report by Mannheimer Swartling, april 2017, s. 8.
180Se
338
SOU 2021:63 |
Internationell utblick |
behövs för att tydliggöra industrins skyldigheter angående cyber- säkerhet i framtiden.
Slutligen kommer den australienska regeringen att lägga mer resur- ser på att öka allmänhetens medvetenhet om cybersäkerhetshot.
AISEP – program för evaluering av
Australasian Information Security Evaluation Program, AISEP, han- terar evaluering och certifiering av
ISM – nationell handbok för informationssäkerhet
Som en del av sin rådgivning tillhandahåller ACSC Australian Govern- ment Information Security Manual (ISM) innehållande ett ramverk för cybersäkerhet som organisationer kan tillämpa för att skydda sina system och information från cyberhot.182
Organisationer är som utgångspunkt inte skyldiga enligt lag att följa ISM. ISM är vidare subsidiär i förhållande till avvikande lag- stiftning. Syftet med cybersäkerhetsprinciperna i ISM är att ge prak- tisk vägledning om cybersäkerhet, inbegripet
När det gäller informationstillgångar som ägs av eller anförtrotts den australiensiska regeringen finns ett antal grundläggande krav på informationssäkerhet som aktörer tillämpar. Bl.a. måste varje enhet säkerställa en säker drift av sina
181Certifikat på evalueringsnivåerna EAL
182ISM är avsedd att användas av informationssäkerhets- och
339
Internationell utblick |
SOU 2021:63 |
tion om statliga angelägenheter genom att tillämpa ISM:s cyber- säkerhetsprinciper under alla stadier av varje systems livscykel.183
För kvalificerat hemliga (”top secret”) system kan bedömningar av säkerhetskontroller genomföras av
Innan ett system får tas i drift behöver beslut fattas i fråga om åtföljande säkerhetsrisk kan accepteras. Om riskerna med systemets drift accepteras kan driftsättningen godkännas, annars kan den nekas. Den som har till uppgift att godkänna systemet (authorising officer) kan dessutom, i avvaktan på att en acceptabel standard nås, kräva ytterligare information av systemägaren eller tillåta driftsätt- ning av systemet med vissa användningsbegränsningar. För kvali- ficerat hemliga system och system som bearbetar, lagrar eller kom- municerar kvalificerat hemlig eller känslig kompartmentaliserad in- formation är ASD:s generaldirektör godkännandeorgan. På nivån hemlig och lägre ligger uppgiften att godkänna systemet hos en orga- nisations informationssäkerhetschef eller motsvarande. I alla fall bör godkännaren ha en lämplig nivå av kompetens och förståelse för säker- hetsrisker.
Som tidigare berörts utför ASD produktevalueringar i syfte att tillhandahålla en högre nivå av assurans hos produkters säkerhets- funktionalitet. Som vägledning vid anskaffning (”acquisition”) hän- visar ISM till dessa evalueringar som sker genom dels programmet ASD Cryptographic Evaluation (ACE) för produkter som används för att skydda klassificerad (”classified”) information, dels High Assurance
ISM har många likheter med NIST RMF (se ovan), fast är något förenklad.
183Se den australienska regeringens Protective Security Policy Framework, Policy 11 om robusta
184Ibid.
340
SOU 2021:63 |
Internationell utblick |
Policyramverk för säkerhetsskydd
Bemyndigande att driva ett
Kvalificerat hemliga system ska säkerhetsbedömas, och i tillämp- liga fall godkännas, av ASD.
Sammanfattning av särskilda krav på IKT i säkerhetskänslig verksamhet
Av inhämtade uppgifter framgår att det finns myndigheter i Australien med ansvar för nationell informations- och cybersäkerhet samt upp- gifter att evaluera respektive certifiera IKT. När det gäller informa- tion om statliga angelägenheter som tillhör regeringen behöver berörda
341
Internationell utblick |
SOU 2021:63 |
organisations säkerhetschef. Några motsvarande nationella krav på certifiering av sådana system har dock inte framkommit.
9.13Gränsöverskridande system
Inledning
Så som uppdraget får förstås har utredningen i denna del endast till uppgift att göra en jämförelse med nationell lagstiftning i andra in- tressanta länder. För att utröna behovet av ytterligare nationella krav på certifiering och godkännande är det emellertid relevant att även göra en kartläggning av gränsöverskridande system och förfaranden som kan aktualiseras på internationell nivå. I kapitel 13 lämnar ut- redningen en sammanfattning av de gränsöverskridande systemen på området.
Nationella säkerhetsmyndigheter (NSA)
Det ska finnas säkerhetsmyndigheter i EU:s medlemsstater med uppdrag att så långt det är möjligt enligt nationell rätt säkerställa att aktörer på deras territorium vidtar alla lämpliga åtgärder för att skydda säkerhetsskyddsklassificerade
Organisationen av säkerhetsmyndigheter varierar i medlemssta- terna. I t.ex. Frankrike har man en dedikerad myndighet som har det samlade ansvaret för säkerheten nationellt (ANSSI). I Sverige finns i stället flera myndigheter som har olika mandat; Försvarsmakten och Säkerhetspolisen. Härutöver finns internationella överenskommelser.
342
SOU 2021:63 |
Internationell utblick |
Enligt säkerhetsskyddsförordningen (2018:658) 6 kap. 1 § ska Regeringskansliet vara nationell säkerhetsmyndighet för internatio- nella säkerhetsskyddsåtaganden gentemot Europeiska unionen och dess medlemsländer inom ramen för
NSA ansvarar för att upprätthålla säkerheten för de säkerhets- skyddsklassificerade uppgifter som Sverige tar emot från EU, ESA och NATO – oavsett var den förvaras (inrikes/utrikes, myndighet/ organ respektive offentliga/privata). NSA ska vidare periodiskt in- spektera att säkerheten är tillfredställande, vilket sköts av Försvars- makten och Säkerhetspolisen. NSA ansvarar för att personal som hanterar
185Regeringskansliets föreskrifter med arbetsordning för Utrikesdepartementet (UF 2019:3,
37§) anger att Säkerhetsenheten ansvarar för frågor rörande säkerheten för sekretessbelagda uppgifter enligt säkerhetsskyddsavtal med Europeiska unionens medlemsländer och Euro- peiska rådet samt enligt åtaganden om detta i överenskommelser med Nato och Europeiska rymdorganet (ESA).
343
Internationell utblick |
SOU 2021:63 |
Rådets beslut om skydd av säkerhetsskyddsklassificerade
Den 23 september 2013 antog Europeiska unionens råd ett beslut om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassifi- cerade
Rådets beslut innehåller bl.a. bestämmelser om hur säkerhets- skyddsklassificerade
Endast godkänd utrustning eller godkända anordningar ska an- vändas för att skydda säkerhetsskyddsklassificerade
186Säkerhetsskyddsklassificerade
344
SOU 2021:63 |
Internationell utblick |
skyddas med godkända kryptoprodukter eller som föreskrivet av den behöriga säkerhetsmyndigheten om säkerhetsåtgärder.
När säkerhetsskyddsklassificerade
AQUA, dvs. godkänd andrapartsevaluerare av krypto inom EU, finns i fem medlemsstater, däribland Sverige188. Frankrike, Italien, Nederländerna och Tyskland är de övriga kryptogodkända länderna.189 Även om säkerhetskraven i det nu nämnda beslutet formellt endast riktar sig till rådet och den egna organisationen har angivna krav in- korporerats även i multilaterala avtal (se nedan) som en form av stan- dard och bästa praxis i ett vidare sammanhang. I denna del blir det
187Det kan emellertid även förhålla sig på det sättet att EU accepterar att en medlemsstat under viss tid använder s.k.
188Det är Swedish NCSA (National Communications Security Authority) som är AQUA i Sverige, och vidare är Must Swe NCSA (utpekade av NSA på UD).
189Alla länder skapar sina egna krypton för nationellt bruk, men vissa kryptoprodukter som blir evaluerade kan fritt användas för
345
Internationell utblick |
SOU 2021:63 |
därmed fråga om en gemensam regeluppsättning för säkerhet och en samverkan mellan medlemsstaterna om hur säkerhetsskyddsklas- sificerade
Multilateralt säkerhetsskyddsavtal
Vid hantering av gemensamt hemliga uppgifter ingår EU:s medlems- stater bl.a. multilaterala säkerhetsskyddsavtal för att skydda upp- gifterna. I dessa avtal hänvisas till rådets beslut (se ovan) i fråga om gällande säkerhetskrav och
EU:s medlemsstater har ingått ett multilateralt avtal om skydd av säkerhetsskyddsklassificerade uppgifter som utbyts i EU:s intresse (2011/C 202/05). Syftet med avtalet är att skydda säkerhetsskydds- klassificerade uppgifter som härrör från unionen eller parterna.
Genom det multilaterala avtalet förbinder sig parterna att vidta alla lämpliga åtgärder enigt nationell rätt för att säkerställa att den säkerhetsnivå som ges säkerhetsskyddsklassificerade uppgifter som omfattas av avtalet är likvärdig med den som ges enligt säkerhets- bestämmelserna inom unionens råd för säkerhetsskyddsklassifice- rade
190Sådana åtgärder ska åtminstone säkerställa uppgifternas konfidentialitet, integritet och till- gänglighet.
346
SOU 2021:63 |
Internationell utblick |
NATO:s regler för säkerhet
Liksom vid utbyte på
För att skydda
Förutom nationella klassificeringar av hemlig information be- aktas att det även finns kategorier som avser Nato: Nato Restricted, Nato Confidential, Nato Secret och Cosmic Top Secret.
Behörighet krävs för tillgång till
Ett kryptosystem avsett att skydda information klassificerad Nato Secret och uppåt ska vara godkänt av Nato Military Committee, (NAMILCOM) vilket innefattar en andrapartsevaluering av Nato’s Information Security and Evaluation Agency (SECAN). För att natio- nellt skydda Nato Restricted och Nato Confidential ska systemet vara godkänt av lämplig myndighet i landet. För länder som inte tillhör Nato krävs det dock ett särskilt godkännande för detta, och ett sådant har Sverige och Swe NCSA (dvs. Must).
9.14Sammanfattande slutsatser
En allt viktigare aspekt för
I syfte att öka cybersäkerheten i
347
Internationell utblick |
SOU 2021:63 |
finns även gränsöverskridande processer för evaluering och ackre- ditering av IKT, inbegripet användning av kryptoutrustning.
Merparten av de undersökta länderna lägger stor vikt vid en hel- hetssyn, även om de organisatoriska lösningarna för att skapa skydd skiljer sig något åt.191 Alla länder har också en eller flera nationella svarsmiljöer för hantering av
Länderna investerar i att bygga både offensiva och defensiva kapa- citeter relaterade till cybersäkerhet. Dock finns för närvarande inga länder som har övergripande nationella indikatorer för att mäta IKT- säkerhet. Ett genomgående drag är att
Av utredningens internationella jämförelse av ett tiotal utländska system framgår att nästintill alla länder har krav på att informations-
191Skydd av personliga uppgifter är visserligen en viktig faktor i samband med informations- säkerhet, men denna aspekt behandlas inte närmare i detta betänkande med hänsyn till upp- dragets snävare utformning. Av samma anledning har också brottsbekämpande myndigheter lämnats därhän. Inte heller personal- eller fysisk säkerhet tillägnas närmare studier i kapitlet, om än dessa utgör delar av informationssäkerheten.
192Mekanismer och plattformar för informationsutbyte är ofta nära integrerade med incident- hanteringsmiljöer.
193I vissa länder med särskilt stort fokus på samarbete mellan offentlig och privat sektor har marknadsincitament skapats för innovation och utveckling av säkerhetslösningar, samt en grund för implementering av övergripande standarder för cybersäkerhet. Dessa länder in- kluderar många relevanta aktörer i utvecklingen av sina cybersäkerhetsstrategier och genom- förandet av åtgärder.
194Sedan 2010 har samtliga av de undersökta länderna utvecklat egna nationella strategier för
348
SOU 2021:63 |
Internationell utblick |
system som kan komma att hantera hemlig och/eller kvalificerat hemlig information ska godkännas av en utpekad nationell myn- dighet, eller ett departement, innan systemet får driftsättas i säker- hetskänslig verksamhet. Nationella krav på evaluering och/eller certi- fiering av motsvarande IKT framstår som emellertid inte som lika vanliga, om än det förekommer i ett par jämförbara länder. Utred- ningen kan samtidigt notera att det på området finns betydande orga- nisatoriska skillnader mellan merparten av de undersökta länderna och Sverige.
349
10 Allmänna överväganden
10.1Inledning
Utredningen bedömer att det finns skäl att som utgångspunkt för överväganden i de frågor som tas upp i direktiven till utredningen behandla några mer grundläggande frågor om digitaliseringens konse- kvenser för informations- och cybersäkerhet mer allmänt, utvecklingen av hot, risker och sårbarheter som följer av den pågående digitaliser- ingen samt förekomsten av brister i informations- och cybersäker- heten inom säkerhetskänsliga och samhällsviktiga verksamhetsområden.
Vidare behandlas även betydelsen av styrning och samordning av arbetet med informations och – cybersäkerhet samt behovet av kom- petens på detta område. Förekomsten av brister inom dessa områden kan allvarligt påverka förutsättningarna att kunna åstadkomma stärkt informations- och cybersäkerhet inom olika viktiga samhällsverk- samheter, bl.a. vad gäller säkerhet i nätverks- och informationssystem som används i säkerhetskänslig verksamhet.
10.2Digitaliseringen av samhällsverksamheter
Bedömning: Den pågående digitala utvecklingen i Sverige och i världen går på många plan mycket fort. Digitaliseringen påverkar hela samhället och området kan beskrivas som horisontellt, bland annat för att det omfattar alla samhällssektorer. På samma sätt som utvecklingen av digitaliseringen kan föra med sig fördelar kan den också föra med sig nya eller förändrade hot, sårbarheter och risker som påverkar informations- och cybersäkerheten i bl.a. nät- verks- och informationssystem hos olika verksamhetsutövare.
351
Allmänna överväganden |
SOU 2021:63 |
Utredningen kan konstatera – och som också Digitaliseringskom- missionen framhåller – att digitaliseringen utgör en katalysator och motor i samhällsutvecklingen sedan ett par decennier tillbaka och att utvecklingen nu går mycket fort. Samhällsutvecklingen har genom historien varit nära sammanlänkad med den tekniska utvecklingen. Det som är särskilt kännetecknande för den av digitaliseringen drivna samhällsutvecklingen är hastigheten i utvecklingen. Det har sin grund
iatt informations- och kommunikationstekniken (IKT) kontinuer- ligt och snabbt utvecklar nya användningsområden och funktioner, högre prestanda samt att användarnas intresse för och kompetens att använda tekniken ständigt växer och driver utvecklingen. Det med- för en omvälvande förändring och en transformering inom flera vik- tiga samhällsområden. Det medför nya förutsättningar för samhället
istort och påverkar alla samhällsaktörer, t.ex. påverkar det sättet att arbeta med olika utmaningar inom de flesta samhällsområden. Digi- taliseringen och användningen av ny teknik förändrar förutsättningar och villkor för både offentlig och enskild verksamhet.
Som framgår av kapitel 4 har Sverige tagit fram en rad olika strategier för att tillvarata digitaliseringens möjligheter. I det övergripande målet
iden nuvarande digitaliseringsstrategin anges att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter samtidigt som ett antal olika delmål satts upp, bl.a. ska det finnas de bästa för- utsättningarna för alla att på ett säkert sätt ta del av, ta ansvar för och ha tillit till det digitala samhället
Betydelsen av att Sverige stärks inom digital infrastruktur och datahantering har pekats på i både regeringsuppdrag och internatio- nella mätningar. Olika initiativ sker för att i större utsträckning kunna strukturera, tillgängliggöra och vidareutnyttja centrala datamängder, skapa en gemensam digital infrastruktur för informationsutbyte samt utveckla och effektivisera verksamheter genom datadriven innova- tion och automatisering med stöd av
Myndigheten för digital förvaltning (DIGG) bedömer också att det på senare tid har det skett en tydlig ambitionshöjning vad gäller den digitala förvaltningen i Sverige. Sedan 2018 har flera större pro- jekt initierats, bl.a. etablerandet av en förvaltningsgemensam digital infrastruktur för informationsutbyte, etableringen av flera nationella grunddatadomäner och ett intensifierat arbete med öppna data. Vidare
352
SOU 2021:63 |
Allmänna överväganden |
har styrningen av den offentliga sektorns digitalisering, som tidigare präglades av fragmentering och ett stort självbestämmande, ändrat fokus och handlar i dag mycket om att öka helhetssynen och konso- lidera och standardisera de komponenter och lösningar som behövs i hela eller stora delar av förvaltningen. Denna utveckling bedöms kunna ha stor positiv inverkan på den svenska förvaltningens förut- sättningar att tillvarata digitaliseringens möjligheter.
Statliga myndigheter bedriver sedan många år olika digitaliserings- arbeten. Digitaliseringen har använts och används fortsatt som ett verktyg för att uppnå kostnadsbesparingar, effektivisera och utveckla myndigheters förmåga att lösa sina uppdrag. Från att tidigare ha datoriserat informationshantering är svenska myndigheter nu inne i en fas som karaktäriseras av effektivisering och kapacitetsförbättring av sin verksamhet och tillgängliggörande av data, som är ett viktigt steg mot att Sverige ska kunna tillvarata digitaliseringens möjligheter.
DIGG leder även ett arbete med att etablera en hållbar digital infrastruktur som ska möjliggöra ett effektivt och säkert utbyte av information inom och med det offentliga. Utvecklingen av infrastruk- turen ska främja nya förvaltningsgemensamma tjänster och lösningar för framtiden. Arbetet med den digitala infrastrukturen möjliggör även att nya datadrivna tekniker, t.ex. AI, kan användas för att öka inno- vationsförmågan och ge bättre service. En fullt utvecklad digital infra- struktur ska underlätta för medborgare och företagare i deras myn- dighetskontakter både nationellt och inom EU, där en uppgift till exempel bara ska behöva lämnas en gång.
Utredningen anser att man dock inte kan bortse för att digitali- seringen även medför nya eller förändrade hot, sårbarheter och ris- ker. I takt med ett större beroende till och sammankoppling av olika digitala system, t.ex. nätverks- och informationssystem, skapas situa- tioner där cyberangrepp och enskilda
353
Allmänna överväganden |
SOU 2021:63 |
ning av de digitala systemen vilket i sin tur driver på transformer- ingen i samhället.
10.3Hot, sårbarheter och risker
Bedömning: Digitaliseringen av samhällets olika verksamheter medför att hot, sårbarheter och risker kontinuerligt ökar. Det innebär att risken för cyberangrepp ökar mot olika samhällsverk- samheter, särskilt vad gäller säkerhetskänsliga och andra sam- hällsviktiga verksamheter, som många har höga skyddsvärden.
Hoten kommer främst från statliga aktörer som genomför cyberangrepp i olika syften, bl.a. som förberedelser för cyberangrepp och som industrispionage. Hoten kommer även från kriminella aktörer och ideellt motiverade aktörer, som har förmåga till cyber- angrepp för olika syften.
Att kunna skydda sig mot cyberangrepp från kvalificerade hotaktö- rer är en nationell angelägenhet. Metoder och verktyg för cyber- angrepp utvecklas ständigt och hotaktörernas spelplan förändras i takt med teknikutvecklingen. Bland de svenska mål som utsätts för cyberangrepp finns verksamheter som är väsentliga för samhällets grundläggande funktioner.
Som framgår av den myndighetsgemensamma rapporten som Säker- hetspolisen, Försvarsmakten, Försvarets radioanstalt (FRA) och Myn- digheten för samhällsskydd och beredskap (MSB) offentliggjort 2020 ökar den aktuella hotbilden (se kapitel 5). Ett stort antal stater be- döms i dagsläget ha förmåga att genomföra cyberangrepp och använder cyberangrepp för att uppfylla olika nationella intressen. Vissa statliga aktörer är dessutom mycket kvalificerade och genomför cyberangrepp på ett sätt som är storskaligt, systematiskt, uthålligt och globalt. Cyber- angrepp ger även angriparen möjligheter till anonymitet, förnekbar- het och vilseledning jämfört med mer traditionella metoder, vilket öppnar upp för nya möjligheter att agera utan att hamna i öppna kon- flikter med andra länder. Cyberangrepp från statliga aktörer pågår ständigt mot svenska mål i syfte att inhämta underrättelser. De an- griper bland annat verksamheter som hanterar känslig eller skydds- värd information som rör Sveriges säkerhet, men även öppen infor- mation kan vara av intresse.
354
SOU 2021:63 |
Allmänna överväganden |
I rapporten påpekas också att många länder utvecklar förmåga att genomföra avancerade cyberoperationer, bl.a. i form av offensiva cyberangrepp, t.ex. angrepp som stör eller avbryter försvarsrelate- rade eller samhällsviktiga funktioner i syfte att minska ett lands förmåga att stå emot ett kommande militärt angrepp eller försvaga ett lands motståndskraft mot påtryckningar. Statliga aktörer bedri- ver även underrättelseinhämtning mot svenska myndigheter och för- svarsindustri i form av cyberangrepp i syfte att kartlägga Sveriges förmåga och sårbarheter med koppling till den nationella försvars- förmågan. Statliga aktörer studerar – som förberedelse för att an- vända cyberangrepp i konflikter – sårbarheter som kan utnyttjas och utvecklar därefter verktyg som behövs för att genomföra cyberope- rationer. Sårbarheterna utnyttjas för att ta sig in i system och infek- tera dessa för att kunna slå ut systemet i det fall en konflikt uppstår. Attackerna förbereds således i fredstid och kan sedan koordineras med konventionella stridsmedel om det gynnar operationen. Takten i den tekniska utvecklingen är hög och det upptäcks kontinuerligt nya sårbarheter och det pågår en ständig kapplöpning mellan medel och motmedel och det krävs därför ett fortlöpande utvecklingsarbete för att upprätthålla en förmåga till och skydd mot avancerade cyber- operationer.
Cyberangrepp genomförs även av stater som bedriver omfattande program som syftar till att genom industrispionage stjäla företags- hemligheter från andra länder för att påskynda sin egen teknikut- veckling. Cyberangrepp i syfte att genomföra industrispionage mot svenska mål är vanligt förekommande och innebär att svenska företag som utvecklar ny teknik kan komma att konkurreras ut av sina egna lösningar som stulits av statliga aktörer.
Cyberangrepp genomförs även av kriminella aktörer som bedri- ver cyberkriminalitet där det finns möjligheter till ekonomisk vinning. Ransomware, bedrägerier, stölder och liknande kriminella aktiviteter drabbar såväl myndigheter som företag och deras leverantörer, som ofta bedriver verksamheter med höga skyddsvärden. Cyberangrepp genomförs också av ideologiskt motiverade aktörer, som betraktar angrepp mot svenska mål som legitima, även om förmågan inte mot- svarar vilja och ambition att genomföra sådana angrepp. Försök till cyberangrepp med enklare metoder och tekniska medel bedöms dock fortsätta, t.ex. genom distribuerade överbelastningsattacker och kapade hemsidor.
355
Allmänna överväganden |
SOU 2021:63 |
Sammanfattningsvis kan utredningen konstatera att hotbilden är sammansatt, komplex och fortlöpande ökar. Cyberangreppen både ökar i omfattning och blir alltmer tekniskt avancerade i takt med den globala teknikutvecklingen på cyberområdet. Den nationella ambi- tionen med den pågående digitaliseringen i samhället och av säker- hetskänsliga och andra samhällsviktiga verksamheter öppnar upp för nya sårbarheter och risker, bl.a. i de nätverks- och informationssystem som används i dessa verksamheter.
Som utredningen tidigare beskrivit följs takten i digitaliseringen inte av motsvarande utveckling när det gäller informations- och cyber- säkerhet i stort i samhället och inom många viktiga samhällsverksam- heter kapitel 4).
10.4Brister i informations- och cybersäkerhet
Bedömning: Av offentliga utredningar och myndighetsrapporter framkommer att det finns allvarliga brister i informations- och cybersäkerheten inom en rad olika samhällsverksamheter. Detta gäller såväl statliga myndigheter som regioner och kommuner men även organisationer och näringslivet. Bristerna innebär uppenbara risker för angrepp mot nätverveks- och informationssystem som kan medföra allvarliga konsekvenser för samhället och aktörer inom olika verksamhetsområden.
Utredningen har – som framgår ovan – strävat efter att skaffa sig en överblicksbild över nivån på informations- och cybersäkerhet i säkerhetskänslig verksamhet. Utredningen har tagit del av offentliga utredningar och myndighetsrapporter som offentliggjorts under den senast femårsperioden, några har offentliggjorts så sent som under 2020 och 2021. Ett fåtal av dessa utredningar har behandlat frågor med anknytning till nivån på informations- och cybersäkerhet i säker- hetskänsliga verksamheter. De övriga utredningar som förekommer i detta avseende omfattas naturligen av sekretess eller i något fall även av kvalificerad sekretess, vilket innebär att utredningen inte haft tillgång till allt underlag som kan belysa om det föreligger anled- ning att föreslå att det införs en nationellt anpassad certifierings- ordning för
356
SOU 2021:63 |
Allmänna överväganden |
informationssystem i säkerhetskänslig verksamhet. Utredningen anser att detta påverkat förutsättningarna för utredningsarbetet.
Även om det av offentliggjorda utredningar och myndighets- rapporter som utredningen tagit del av, och som redogjorts för i kapi- tel 8, kan dras slutsatsen att det förekommer allvarliga brister i in- formations- och cybersäkerheten i verksamheten hos många offentliga aktörer och i viss mån även i företag så kan inte dras en tillräckligt säker slutsats om nivån när det gäller den säkerhetskänsliga verksamheten.
Utredningen bedömer dessutom att när det gäller aktörer och verksamheter som avser säkerhetskänslig verksamhet finns anled- ning att göra viss åtskillnad vid analyser av verksamhet som bedrivs inom Säkerhetspolisens respektive Försvarsmaktens ansvarsområde. Inom den senare myndighetens ansvarsområde återfinns i huvudsak myndigheter under Försvarsdepartementet, dvs. i första hand inom den militära försvarssektorn. Inom Säkerhetspolisens tillsynsområde återfinns i praktiken övriga aktörer som bedriver säkerhetskänslig verksamhet. Försvarsmakten har en sedan lång tid tillbaka meddelat föreskrifter om informations- och cybersäkerhet som gäller för de övriga s.k. försvarsmyndigheterna och har dessutom genom den mili- tära säkerhets- och underrättelsetjänstens (MUST) arbete en väl- utvecklad ordning för att bedriva tillsynsverksamhet inom tilldelat ansvarsområde. Utredningen har i samtal med experter med anknyt- ning till Försvarsmaktens tillsynsområde inte erhållit sådan informa- tion att det finns befogad anledning anta att det på det området skulle förekomma motsvarande allvarliga brister i informations- och cyber- säkerheten som kan återfinnas hos övriga civila aktörer som – i större eller mindre omfattning – bedriver verksamhet som omfattas av regler- ingen om säkerhetsskydd.
Det innebär också att när utredningen analyserar behov av åtgär- der för att stärka säkerheten i nätverks- och informationssystem i säkerhetskänslig verksamhet blir utgångspunkten i denna del den överblicksbild på brister i informations- och cybersäkerhet som kan observeras i första hand hos statliga myndigheter samt kommuner och regioner inom Säkerhetspolisens tillsynsområde. Av några rap- porter och studier kan även dras vissa slutsatser när det gäller brister i informations- och cybersäkerhet hos företag i näringslivet.
Av sammanställningen av offentliga utredningar och myndig- hetsrapporter framkommer en mycket bekymmersam bild av nivån på och omfattningen av informations- och cybersäkerheten i främst
357
Allmänna överväganden |
SOU 2021:63 |
offentlig verksamhet men även till viss del hos enskilda verksamhets- utövare. Sammantaget måste bristerna bedömas som allvarliga och utredningen anser att omfattande och samordnade åtgärder behöver vidtas i syfte att stärka informations- och cybersäkerheten i sam- hället i stort och särskilt inom säkerhetskänsliga och andra samhälls- viktiga verksamheter. Frågor som berör förslag på mer övergripande åtgärder för att öka informations- och cybersäkerheten inom angivna verksamheter, såväl vad avser styrning som organisering och resurs- behov, kräver omfattande utredningsresurser. Även om frågorna be- rör förutsättningarna för de åtgärder som utredningen har att över- väga ligger dessa frågor utanför utredningsuppdraget och utredningen har avgränsat arbetet främst till frågorna om behov av certifiering respektive godkännande av myndighet av
10.5Behovet av ökad informations- och cybersäkerhet
Bedömning: Den digitala utvecklingen i samhället visar att det blir allt mer nödvändigt för alla typer av myndigheter, kommuner och regioner, organisationer och företag att arbeta systematiskt med informationssäkerhet. Det finns en grupp av myndigheter som fokuserar på digitaliseringens möjligheter, t.ex. ur ett effek- tiviseringsperspektiv, och en annan grupp som fokuserar på olika typer av hot, sårbarheter och risker. I takt med ökad digitalisering kommer en ökad samverkan och samordning mellan dessa grup- per att få betydelse för utvecklingen i sin helhet.
Vidare krävs att informations- och cybersäkerhet går från att vara en teknikfråga till en strategisk verksamhetsfråga hos verk- samhetsutövare. Ledningsfunktioner i olika former av verksam- heter behöver ta ett större ansvar för det systematiska arbetet med informations- och cybersäkerhet. För det krävs kunskap och kompetens samt att dessa frågor i högre grad integreras i verk- samhetsutövarnas ordinarie styrningsprocesser, t.ex. i system för ledning- och ekonomistyrning.
358
SOU 2021:63 |
Allmänna överväganden |
Digitaliseringen är något som ofta drivs genom att visa på nytta, t.ex. genom att förenkla processer och arbetssätt. Digitaliseringen med- för att myndigheter och andra aktörer måste ha tillgång till och kunna behandla digital information. Detta ställer krav på ett struk- turerat arbetssätt för att säkerställa att den information som behand- las hanteras på ett säkert sätt. Med säker hantering avses både att säkra tillgång till öppen information och att information som inte är öppen ska skyddas. Det kräver även att nätverks- och informations- system som används för styrning och kontroll av verksamhet på samhällsviktiga områden är säkra. När det uppstår brister i informa- tions- och cybersäkerheten kan följden bli omfattande konsekvenser både för samhället i stort och för individers integritet.
Utredningen kan emellertid konstatera att det många gånger är en betydande utmaning att kunna motivera investeringar i informa- tions- och cybersäkerhet eftersom det inte omedelbart ger synbar eller upplevd nytta direkt vid investeringstillfället. Åtgärder som syftar till en stärkt informations- och cybersäkerhet i verksamheten kan i många fall betraktas som något som endast riskerar att försvåra, försena och fördyra ett projekt eller den löpande verksamheten. Många aktörer ser även utmaningar med att sätta sig in i vilka värden en säker hantering av information och säkra nätverks- och informa- tionssystem har på längre sikt.
Utredningen kan även konstatera att inte sällan betraktas också informations- och cybersäkerhetsfrågor som enbart
Ett aktivt arbete med informations- och cybersäkerhet är en för- utsättning för en fortsatt säker digitalisering. Det bör ses som ett grundkrav i alla verksamhetsutövares hantering av information samt nätverks- och informationssystem. Målbilden för styrning inom in- formations- och cybersäkerhetsområdet bör vara att få motsvarande effekt av styrningen som på t.ex. arbetsmiljö och miljöområdet. Det innebär att höja medvetenheten om behovet av strategisk styrning och ett systematiskt informationssäkerhetsarbete och att tydliggöra
359
Allmänna överväganden |
SOU 2021:63 |
detta inte bara hos statliga myndigheter utan även hos andra offent- liga och enskilda verksamhetsutövare. Alla statliga myndigheter och andra offentliga aktörer, dvs. regioner och kommuner, måste bedriva ett systematiskt och riskbaserat informations- och cybersäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. Vikten av att medvetenheten om informations- och cybersäkerhet ökar och att dessa frågor ingår i alla digitaliseringsprocesser har också tidigare fram- hållits i olika offentliga utredningar och rapporter (kapitel 4 och 8).
10.6Ökat behov av styrning och samordning av informations- och cybersäkerhet
Bedömning: Bristen på reglering, styrning och samordning i det samlade arbetet med att stärka informations- och cybersäkerhe- ten i samhället i stort medför betydande utmaningar för både offentliga och enskilda verksamhetsutövare. Åtgärder krävs som ger offentliga och enskilda aktörer förutsättningar att kunna uppnå en tillräcklig grad av informations- och cybersäkerhet i verksam- heten. Det närmare behovet av ytterligare reglering samt tyd- ligare styrning och samordning av arbetet med samhällets infor- mations- och cybersäkerhet bör därför utredas i särskild ordning.
Utredningen kan konstatera att arbetet med informations- och cyber- säkerhet i dag är – i enligt med den nationella regleringen och model- len för arbetet med informations- och cybersäkerhet – i allt väsent- ligt varje verksamhetsutövares eget ansvar. I och med att verksam- hetsutövare i dag är blir allt mer beroende av andra aktörer för sin informationshantering, bl.a. i förvaltningsgemensamma digitala system- lösningar och funktioner, är det nödvändigt med samordnade åtgärder för att öka informations- och cybersäkerheten, dvs säkerhetsnivån och samtidigt reducera sårbarheter och risker i informations- och nätverkssystemen.
Utredningen kan även notera att det nationella informations- och cybersäkerhetsarbetet alltjämt är uppdelat i olika, delvis överlappande, ansvarsområden, både på departements- och på myndighetsnivå. Detta medför att det i dag också saknas ett enhetligt regelverk och ett en- hetligt arbetssätt för samhällets informations- och cybersäkerhets- arbete samtidigt som det är få gemensamma krav på informations-
360
SOU 2021:63 |
Allmänna överväganden |
och cybersäkerhet, utom när det gäller tillsynsmyndigheternas krav på säkerhet i nätverks- och informationssystem i säkerhetskänslig verksamhet och verksamhet som avser samhällsviktiga och digitala tjänster. Expert- och sektorsmyndigheter har, utifrån sitt specifika ansvarsområde eller expertområde, gett ut föreskrifter som i olika grad ställer krav på säkerhet i dessa system.
Utredningen bedömer att det finns en stor risk att fragmenter- ingen av bl.a. kravställningen på området ökar när flera aktörer – om inte samordning sker när det är möjligt – utfärdar föreskrifter och allmänna råd om informations- och cybersäkerhet för olika verksam- heter på området Detta riskerar även att få till följd att kunskap och erfarenheter som finns hos olika aktörer inte nyttjas ändamålsenligt och effektivt, dvs. att tillgängliga resurser inte riktas mot och används inom de områden där bristerna i informations- och cybersäkerheten är som störst. Det riskerar även att information om och krav på åt- gärder för att möta hot och reducera sårbarheter och risker fördröjs eller aldrig blir utförda på grund av oklara ansvarsförhållanden.
Utredningen bedömer att det fragmenterade arbetet även leder till att det i allt väsentligt inom den samlade offentliga sektorn saknas gemensamma riktlinjer för vilket skydd olika typer av nätverks- och informationssystem bör ha. Detta riskerar att leda till att samma typ av information och nätverks- och informationssystem kan erhålla olika skyddsåtgärder beroende på vilken verksamhetsutövare som han- terar informationen och var i dennes system som informationen och nätverks- och informationssystemen finns. Detta riskerar att med- föra effektivitetsbrister och ökade kostnader, då systemen kan få olika utformning som medför minskad interoperabilitet.
Utredningen behandlar i delbetänkande vissa frågor med anknyt- ning till tillsyn, bl.a. att det är viktigt att regleringens olika delar sam- spelar så att det inte uppstår en obalans mellan dem. Om t.ex. vissa delar av tillsynsverksamheten är reglerad med avseende på vilka pre- stationer en tillsynsmyndighet ska åstadkomma medan andra delar har mer övergripande målformuleringar finns en risk att den detal- jerade regleringen får en styrande inverkan på tillsynen, med den kon- sekvensen att annan mer strategiskt inriktad tillsyn får stå tillbaka. Det finns också en stor risk att verksamhetsutövare som är utsatta för tillsyn fokuserar arbetet på de delar som granskas mer specifikt och att arbetet med det övergripande arbetet med informations- säkerhet får stå tillbaka.
361
Allmänna överväganden |
SOU 2021:63 |
Mot bakgrund av detta anser utredningen att bristen på gemen- sam reglering, styrning och samordning av arbetet med informa- tions- och cybersäkerhet medför betydande utmaningar i arbetet för såväl offentliga som enskilda verksamhetsutövare, t.ex. när det gäller arbete uppnå tillräcklig säkerhet i nätverks- och informationssystem i verksamheten.
Utredningen bedömer dock att förlag på åtgärder som ger offent- liga och enskilda aktörer bättre förutsättningar med att genomföra och förvalta digitaliseringsarbetet och samtidigt uppnå en tillräcklig grad av informations- och cybersäkerhet kräver en fördjupad analys som ligger utanför utredningens uppdrag. Utredningen anser dock att frågan om gemensamma regler och tydligare styrning och sam- ordning av arbetet med samhällets informations- och cybersäkerhet bör utredas och analyseras ytterligare i särskild ordning.
10.7Tillgången på personal med kompetens inom informations- och cybersäkerhet måste öka
Bedömning: Det finns i dag ett omfattande behov av personal med kompetens i informations- och cybersäkerhet på olika nivåer hos många verksamhetsutövare, såväl inom den offentliga verk- samheten som i näringslivet. Tillgången på personal med kompe- tens inom informations- och cybersäkerhet behöver därför öka.
En förutsättning för att kunna hantera frågor om informations- och cybersäkerhet i offentlig och privat sektor är att det finns tillgång till kvalificerad kompetens på området. Det råder emellertid en stor brist på kompetens inom informations- och cybersäkerhetsområdet.
Enligt IT & Telekomföretagens rapport
1
362
SOU 2021:63 |
Allmänna överväganden |
Brister som kan ha sin orsak i kompetensbrist på området är:
•En betydande andel myndigheter arbetar inte systematiskt med att identifiera sina skyddsvärden eller att säkerhetsskyddsklassi- ficera sina uppgifter.
•Säkerhetsincidenter med misstänkt eller konstaterad informations- förlust av hemliga uppgifter till följd av bristfälligt implementerad och underhållen
•
•Bristfälliga kravställningar på cybersäkerhet vid upphandlingar.
I Digitaliseringsrådets lägesbild för digital kompetens beskrivs be- hovet av digital kompetensförsörjning där informationssäkerhet är en del. En av rekommendationerna i lägesbilden är att utöka antalet utbildningsplatser för digitala specialister hos lärosätena genom rik- tade insatser. För informationssäkerhet är det dock inte bara antalet utbildningsplatser som är ett problem utan avsaknaden av utbild- ningar hos universitet och högskolor.
I ett digitalt samhälle behöver alla grundläggande digital kompe- tens för att kunna vara delaktiga. Kompetensen handlar om att förstå såväl möjligheter som risker. Internetstiftelsen anger att den gene- rella internetkunskapen behöver öka i Sverige för att fler ska förstå riskerna med användandet av digitala tjänster och vad man själv kan göra för att förebygga riskerna. Digitaliseringsrådet framhåller be- hovet att växla upp arbetet med att nå alla invånare för att öka kun- skapen om bland annat informationssäkerhetsfrågor. Digitaliserings- rådet föreslår att även att t.ex. Myndigheten för samhällsskydd och beredskap (MSB) kartlägger vilken typ av ytterligare stöd som efter- frågas hos myndigheter och kommuner och regioner och i vilken om- fattning det befintliga metodstödet används och är känt.
Utredningen kan konstatera att bristen på informations- och cyber- säkerhetskompetens i olika verksamheter är något som utmanar säker- heten hos många verksamhetsutövare. Även om tekniska risker många gånger kan hanteras riskerar ett mer strukturerat arbete med infor- mations- och cybersäkerhet och som ser till olika aspekter och risker i verksamheten att falla bort eller bli underutvecklat. Rätt kompetens
363
Allmänna överväganden |
SOU 2021:63 |
är också en förutsättning för att kunna driva systematiskt arbetet med informations- och cybersäkerhet.
10.8Sammanfattning
Av vad som framkommer av offentliga utredningar och myndighets- rapporter under den senaste femårsperioden kan slutsatsen dras att det pågår en omfattande digitalisering av det svenska samhället och av verksamheter inom flera viktiga samhällsområden. Digitaliser- ingen medför stora utvecklingsmöjligheter men medför också ökade hot, sårbarheter och risker. Informations- och cybersäkerheten har inte utvecklats på motsvarande sätt vilket medför att gapet mellan digitaliseringen och informations- och cybersäkerheten ökat och fort- sätter att öka om inte kraftfulla åtgärder vidtas på området. Orsaken till att gapet ökar har sin förklaring bl.a. i form av brister i reglering, styrning och samordning av arbetet med informations- och cyber- säkerhet samt brist på kompetent personal. Åtgärder som behöver vidtas innefattar bl.a. bättre styrning och samordning av arbetet med att stärka informations- och cybersäkerheten mer allmänt i samhället och särskilt inom säkerhetskänsliga och samhällsviktiga verksam- heter. Vidare behöver utbildning och tillgång till personal med kom- petens inom informations- och cybersäkerhet öka. Många verksam- hetsutövare behöver också förbättra arbetet med ett systematiskt informationssäkerhetsarbete.
Utredningen har genom kartläggningen och sammanställningen av offentliga utredningar och myndighetsrapporter i ett tidigt skede av utredningsarbetet dragit slutsatsen att det föreligger flera olika mer eller mindre allvarliga brister i informations- och cybersäkerheten mer allmänt inom många samhällssektorer och viktiga samhällsverksam- heter, bl.a. i säkerhetskänsliga verksamheter på främst Säkerhetspolisens tillsynsområde. Utredningen bedömer att flera åtgärder krävs för att stärka säkerheten i dessa verksamheter. Arbetet med att överväga sådana mer generella åtgärder för att stärka informations- och cyber- säkerheten i viktiga samhällsverksamheter kräver en fördjupad och omfattande analys och ligger dessutom utanför utredningens uppdrag som är avgränsad till den säkerhetskänsliga verksamheten. Utredningen vill samtidigt framhålla att frågan med att stärka informations- och cybersäkerheten i samhället i stort och inom olika säkerhetskänsliga
364
SOU 2021:63 |
Allmänna överväganden |
och samhällsviktiga verksamheter präglas av gemensamma grunder och samberoenden, bl.a. påverkar brister i det grundläggande systematiska arbetet med informations- och cybersäkerhet i verksamheten även förutsättningarna för att kunna uppnå säkerhet i nätverks- och infor- mationssystem i säkerhetskänslig verksamhet hos samma verksamhets- utövare. Vidare kan cyberangrepp mot en enskild verksamhetsutövare innebära följdskador hos en eller flera andra verksamhetsutövare, vid mer allvarliga angrepp kan i vissa fall kan hela samhällssektorer slås ut. I nästa kapitel (kapitel 11) redovisas utredningens allmänna över- väganden om behovet av att stärka säkerheten i nätverks- och infor- mationssystem i säkerhetskänslig verksamhet.
365
11Åtgärder för stärkt säkerhet i nätverks- och informationssystem
11.1Inledning
Utredningen har i föregående kapitel behandlat några av de mer grund- läggande frågor som är av betydelse för möjligheterna att kunna stärka informations- och cybersäkerhet mer allmänt men som även utgör förutsättningar för att kunna stärka säkerheten i nätverks- och informationssystem i säkerhetskänslig verksamhet. För nätverks- och informationssystem som används i eller har betydelse för säker- hetskänslig verksamhet finns i dag särskilda krav i säkerhetsskydds- förordningen (2018:658). Det rör sig bl.a. om förberedande åtgärder inför driftsättning av informationssystem och om säkerhetskrav som kontinuerligt ställs på informationssystemen. Bestämmelserna inne- håller även krav på samråd med Säkerhetspolisen eller Försvarsmakten i vissa fall. Detta gäller för informationssystem som kan komma att behandla säkerhetsskyddsklassificerade uppgifter av visst slag och informationssystem där obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig. Bestämmel- serna innebär att det är verksamhetsutövaren som ansvarar för att se till att informationssystemen upprätthåller kraven på informations- säkerhet.
367
Åtgärder för stärkt säkerhet i nätverks- och informationssystem |
SOU 2021:63 |
11.2Begreppet informationssystem
Bedömning: Begreppet informationssystem används i säkerhets- skyddslagen respektive säkerhetsskyddsförordningen, medan be- greppet nätverks- och informationssystem är det begrepp som används i första hand inom bl.a. det europeiska ramverket för cybersäkerhetscertifiering och området för samhällsviktiga och digitala tjänster (dvs.
Som utredningen tidigare anger förekommer, såväl nationellt som internationellt, olika begrepp och definitioner på informations- och cybersäkerhetsområdet. Mångfalden av begrepp väcker frågan vad som avses med begreppet i det sammanhang som det används. Ett exempel på en sådan fråga är om det föreligger någon skillnad mellan begreppet informationssystem, som är det begrepp som används i den nationella regleringen av säkerhetsskydd och begreppet nätverks- och informationssystem, som är det begrepp som används inom bl.a. det europeiska ramverket för cybersäkerhetscertifiering och inom tillämpningsområdet för samhällsviktiga och digitala tjänster, dvs.
368
SOU 2021:63 |
Åtgärder för stärkt säkerhet i nätverks- och informationssystem |
begrepp som utredningen lämpligen bör använda i detta utrednings- arbete.
Utredningen anser att det finns starka skäl för att samma begrepp och definition bör användas för nätverks- och informationssystem om det inte finns anledning till annat förhållningssätt. Utredningen kan emellertid konstatera att den nationella författningsregleringen för skydd av säkerhetskänslig verksamhet tidigare och även nu är föremål för revidering och att någon ändring av begreppet informa- tionssystem i denna författningsreglering inte aktualiserats.
Uppdraget innefattar frågor – som det uttrycks i direktiven – om behovet av att stärka säkerheten i nätverks- och informationssystem i säkerhetskänslig verksamhet. Utredningen anser att begreppet infor- mationssystem som det används i den nu gällande författningsregler- ingen och i det förslag till förförfattningsförändring som tas upp i propositionen Ett starkare skydd för Sveriges säkerhet (prop. 2020/ 21:194) bör kvarstå i avvaktan på revidering av lagstiftningen. Vid en ny översyn av författningsregleringen av skydd för säkerhetskänslig verksamhet bör dock frågan om samstämmighet av begreppen på området övervägas närmare. Utredningen använder därför begreppet informationssystem i efterföljande kapitel när frågan om certifiering respektive godkännande av informationssystem övervägs, utom i de fall då begreppet informationssystem relaterar till begreppet nätverks- och informationssystem i annan författning, då det senare begreppet används. I sak avses emellertid inte någon skillnad.
11.3Nuvarande brister i säkerheten i informationssystem
Bedömning: Av offentliga utredningar och myndighetsrapporter kan slutsatsen dras att det finns allvarliga brister mer allmänt i informations- och cybersäkerhet hos offentliga och enskilda verk- samhetsutövare. Om motsvarande brister även finns hos verksam- hetsutövare som bedriver säkerhetskänslig verksamhet är svårare att överblicka och redovisa då dessa uppgifter naturligen omfattas av sekretess med stöd av offentlighet- och sekretesslagen. Av vad som anges i ett begränsat antal offentliga utredningar och myn- dighetsrapporter kan ändå – med viss grad av säkerhet – slutsatsen dras att framför allt offentliga verksamhetsutövare, dvs. statliga
369
Åtgärder för stärkt säkerhet i nätverks- och informationssystem |
SOU 2021:63 |
myndigheter, regioner och kommuner, som bedriver säkerhets- känslig verksamhet på Säkerhetspolisens tillsynsområde uppvisar allvarliga brister i informations- och cybersäkerhet i verksamheten och att det även gäller brister i säkerheten i informationssystem som används i sådan verksamhet. I vad mån motsvarande brister finns hos enskilda verksamhetsutövare, dvs. företag i näringslivet, är mer osäkert men utredningen bedömer att utgångspunkten här bör vara att även hos dessa behöver säkerheten öka i informa- tionssystem.
Angivna brister innebär uppenbara risker för angrepp mot in- formationssystem i säkerhetskänslig verksamhet och som kan med- föra allvarliga konsekvenser för samhället som helhet och för olika aktörer inom samhällsviktiga områden.
Som utredningen tidigare framhåller förutsätter förslag på åtgärder som syftar till att stärka säkerheten i informationssystem i säker- hetskänslig verksamhet att det föreligger brister i denna säkerhet alternativt att det kan klarläggas att även om några egentliga brister inte kan observeras så finns det skäl att ytterligare förstärka säker- heten för att motverka eventuella framtida hot, sårbarheter och ris- ker. Genom sammanställningen av de olika offentliga utredningar och rapporter som redogörs för i kapitel 8 framkommer en bekym- mersam bild över nivån på informations- och cybersäkerheten i många samhällsviktiga verksamheter, detta gäller såväl säkerhetskäns- liga verksamheter som verksamheter som avser samhällsviktiga och digitala tjänster. Denna bild har också bekräftats av utredningens sakkunniga och experter under utredningsarbetet. Som utredningen konstaterar i kapitel 8 respektive 10 berör bristerna många olika delar av informations- och cybersäkerheten, bl.a. vad gäller brister i styrning och samordning av arbetet med informations- och cyber- säkerhet men även i det systematiska informationssäkerhetsarbetet och i
370
SOU 2021:63 |
Åtgärder för stärkt säkerhet i nätverks- och informationssystem |
11.4Flera olika åtgärder krävs för att öka säkerheten i informationssystem i säkerhetskänslig verksamhet
Bedömning: Det saknas en enhetlig styrning och samordning av arbetet med att stärka informations- och cybersäkerheten i säker- hetskänslig verksamhet. Vidare behöver det systematiska infor- mationssäkerhetsarbetet och säkerheten i nätverks- och informa- tionssystem hos verksamhetsutövare i sådan verksamhet öka. Det krävs därför åtgärder som ger offentliga och enskilda aktörer bättre förutsättningar att kunna uppnå informations- och cyber- säkerhet i den säkerhetskänsliga verksamheten. Frågan om behov av ytterligare åtgärder – utöver vad som anges i direktiven – be- döms dock ligga utanför utredningens uppdrag och behandlas inte vidare i betänkandet.
Som ovan framkommer anser utredningen att det finns ett stort behov av att stärka säkerheten i nät- och informationssystem i säker- hetskänslig verksamhet, särskilt vad gäller verksamheten på Säker- hetspolisens tillsynsområde. Behoven som framträder genom sam- manställningen av offentliga utredningar och myndighetsrapporter framstår – mot redovisade aktuella hot, sårbarheter och risker – som akuta och omfattande inom flera olika områden på informations- och cybersäkerhetsområdet. Behoven av stärkt säkerhet i nätverks- och informationssystem i säkerhetskänslig verksamhet finns hos många aktörer som bedriver sådan verksamhet, bl.a. statliga myndig- heter, regioner och kommuner. Det krävs åtgärder inom såväl arbetet med systematisk informationssäkerhet som mer
Utredningen kan konstatera att arbetet med informations- och cybersäkerhet i dag är i allt väsentligt varje verksamhetsutövares eget ansvar, även när det gäller den säkerhetskänsliga verksamheten. Detta gäller även om Säkerhetspolisen och Försvarsmakten inom respek- tive tillsynsområde har både en stödjande roll och uppgiften att –
371
Åtgärder för stärkt säkerhet i nätverks- och informationssystem |
SOU 2021:63 |
tillsammans med övriga tillsynsmyndigheter – kontrollera att regel- systemet efterlevs.
I och med att hot, sårbarheter och risker förändras och ökar ställs ökade krav på gemensam och samordnad hantering av åtgärder för att stärka informations- och cybersäkerheten inom det säkerhets- känsliga området och särskilt vad avser de informationssystem som hanterar skyddsvärd eller mycket skyddsvärd information. Mot- svarande krav på gemensamma och samordnade åtgärder gäller också för att stärka nätverks- och informationssystem som används för styrning och kontroll av säkerhetskänsliga funktioner och verksam- heter inom bl.a. elektroniska kommunikationer och, energiförsörj- ning, och som är av betydelse för Sveriges säkerhet. Verksamhetsut- övare inom säkerhetskänslig verksamhet blir allt mer beroende av andra aktörer för sin informationshantering, bl.a. i förvaltningsgemen- samma digitala funktioner och systemlösningar och det blir alltmer nödvändigt med samordnade åtgärder för att öka informations- och cybersäkerheten, dvs. säkerhetsnivån och samtidigt reducera sår- barheter och risker i informations- och nätverkssystemen.
Utredningen kan konstatera att det finns en rad olika statliga aktörer som har olika uppdrag och roller för det nationella arbetet med informations- och cybersäkerhet i säkerhetskänslig verksam- het. Säkerhetspolisen och Försvarsmakten är samrådsmyndigheter och har även tillsynsansvar. Vidare har Försvarets radioanstalt (FRA), Försvarets materielverk (FMV) och övriga tillsynsmyndigheter upp- drag och roller på området. Myndigheternas arbete samordnas sedan 2020 genom det nationella cybersäkerhetscentret. Myndigheterna har på regeringens uppdrag tagit fram en samlad handlingsplan med förslag på olika åtgärder som kan stärka Sveriges arbete med infor- mations- och cybersäkerhet (se kapitel 3). Dessa förslag och åtgär- der ska konkretisera behov och rekommendationer som identifierats på en mer övergripande nivå i den nationella informations- och cyber- säkerhetsstrategin. Den centrala handlingsplanen som myndigheterna i cybersäkerhetscentret lagt fram stödjer i och för sig till del genom föreslagna åtgärder en ökad ambition med att stärka informations- och cybersäkerheten i säkerhetskänslig verksamhet.
Utredningen kan samtidigt notera att regeringen anger att upp- gifterna i det nationella cybersäkerhetscentret är mer av samverkans- karaktär och att varje myndighet i enlighet med ansvarsprincipen har ansvar för respektive myndighets eget ansvars- och tillsynsområde.
372
SOU 2021:63 |
Åtgärder för stärkt säkerhet i nätverks- och informationssystem |
Utredningen kan även konstatera att förändrad hotbild med åt- följande ökning av sårbarheter och risker i förening med den snabba tekniska utvecklingen ställer ökade krav på enhetlig styrning samt gemensamma och samordnade åtgärder när det gäller framtagande av bl.a. en nationell hotbild och sårbarhets- och riskbedömningar som kan tillämpas av verksamhetsutövare inom det säkerhetskäns- liga området (se även kapitel 12).
Vidare behöver arbetet med systematisk informationssäkerhet öka mer generellt hos verksamhetsutövare och vikten av detta gör sig särskilt påmind inom det säkerhetskänsliga området, bl.a. vad gäller strategisk styrning, ökning av kompetens och tilldelning av såväl ekonomiska som personella resurser hos ansvariga verksam- hetsutövare. Det är ett rimligt antagande att många verksamhets- utövare, inom olika samhällsområden med olika förutsättningar och krav, kan komma att behöva stöd från en central myndighet i arbetet med informations- och cybersäkerhet, särskilt vad gäller anskaffning och utveckling av nätverks- och informationssystem i säkerhets- känslig verksamhet, men även
Som utredningen tidigare anger förutsätter flera av dessa fråge- ställningar fördjupad analys innan förslag på närmare åtgärder kan lämnas och som kan bidra till att öka informations- och cybersäker- heten mer allmänt, men särskilt vad gäller säkerheten i informations- system i säkerhetskänslig verksamhet och övrig samhällsviktig verk- samhet. Frågorna berörs inte heller i direktiven och utredningen har därför – som tidigare framgår – avgränsat utredningsarbetet till frå- gorna om det finns anledning att införa en nationell särskilt anpassad
373
Åtgärder för stärkt säkerhet i nätverks- och informationssystem |
SOU 2021:63 |
certifieringsordning för
374
12Certifiering av nätverks- och informationssystem
Förslag: Regeringen ska ge Försvarets materielverk (FMV) i upp- drag att i samråd med övriga myndigheter som ingår i det natio- nella cybersäkerhetscentret och övriga tillsynsmyndigheter inom säkerhetsskyddsområdet
–analysera och lämna förslag på formerna för framtagande av ordning för nationell kravställning som utgör grund för evaluer- ing och/eller certifiering av
–analysera och lämna förslag på vilka resurser som behövs för att inrätta en sådan ordning, vilka myndigheter som bör ges i uppgift att bidra till kravställningsarbetet samt hur näringsliv och företag kan beredas möjlighet att delta i arbetet,
–analysera och lämna förslag på formerna för hur myndigheter och andra verksamhetsutövare kan få stöd vid upphandling och användning av certifierade
–analysera behov av och formerna för framtagande av en natio- nell sammanställning över certifierade och rekommenderade
375
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
Bedömning: Eftersom det bl.a. saknas en nationell fastställd
Tillsynsmyndigheterna kan redan i dag ställa krav på att certi- fierade
En nationell gemensamt framtagen och fastställd
Vidare föreligger oklarhet hur det europeiska ramverket för cybersäkerhetscertifiering utvecklas och i vilken utsträckning som
Det råder även osäkerhet om den nationella marknaden är till- räckligt omfattande för att medge förutsättningar för införande av en nationell certifieringsordning för säkerhetskänslig verksamhet.
376
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
12.1Inledning
Som framgår av föregående kapitel (kapitel 10 och 11) gör utred- ningen bedömningen att det föreligger allvarliga brister i informa- tions- och cybersäkerheten inom många samhällsverksamheter och då även inom verksamheter som är att bedöma som säkerhetskäns- liga. Det finns brister vad avser såväl det systematiska informations- säkerhetsarbetet och som i
Utredningen ska dock enligt direktivet överväga om ytterligare krav bör införas för att säkerställa att nätverks- och informations- system som ska användas i säkerhetskänslig verksamhet uppfyller de krav som behövs för att upprätthålla skyddet av sådana verksamheter. En möjlighet kan – enligt direktivet – vara att införa krav på att IKT- produkter,
I detta kapitel redogörs för utredningens analys och övervägan- den när det gäller frågan om det bör införas krav på att
377
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
12.2Utgångspunkter
Det systematiska informations- och cybersäkerhetsarbetet inklude- rar bl.a. uppgifter att identifiera informationsmängder i verksam- heten, klassa dessa och göra val avseende säkerhetsåtgärder för att skydda informationen. Ett systematiskt informations- och cyber- säkerhetsarbete innefattar administrativa, fysiska och tekniska åtgär- der, och där analys och behov av t.ex. evaluerade och certifierade
Innebörden av evaluering och certifiering av
Frågan i vilken utsträckning som certifiering av
Utgångspunkten för utredningens analys och överväganden i den delen var emellertid behovet av att komplettera det europeiska ram- verket för cybersäkerhetscertifiering med bl.a. kompletterande natio- nell författningsreglering och att lämna förslag på nationell myndighet för cybersäkerhetscertifiering i enlighet med EU:s cybersäkerhets- akt. Utredningens uppdrag var sålunda inte att behandla och överväga frågan om behov av krav på certifiering av
Utredningen har dock i delbetänkandet framhållit att certifiering av
378
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
utifrån fastställda kriterier. Certifiering är ett formellt fastställande av resultatet från utvärderingen (evaluering). I det ingår granskning att evalueringsarbetet genomförts med erforderlig noggrannhet och med utnyttjande av godkänd metodik samt att resultatet påvisat att evalueringsobjektet svarar mot någon viss kravnivå enligt givna evalueringskriterier. Ett utfärdat certifikat och tillhörande rapporter informerar användaren om säkerhetsegenskaperna hos
Det finns särskilda organ med uppgiften att fatta beslut om ut- färdande av certifikat rörande
I många länder finns inom cybersäkerhetsområdet myndigheter som utgör nationella certifieringsorgan för
Det europeiska ramverket för cybersäkerhetscertifiering
Ökad digitalisering, samman- och uppkoppling av bl.a. ”smarta” digitala produkter (IoT) och den allt snabbare tekniska utvecklingen (t.ex. kvantdatorer) leder till ökade cyberhot, sårbarheter och risker i bl.a. nätverks- och informationssystem. För att minska dessa sår- barheter och risker måste nödvändiga åtgärder vidtas för att stärka
1Certifiering utgör ofta ett väsentligt underlag vid ackreditering (driftsgodkännande) av system. En certifiering under ackreditering (kompetensprövning) innebär att en organisation, produkt eller person – av ett ackrediterat certifieringsorgan – bedöms uppfylla kompetenskrav som ställs i standarder eller andra styrdokument.
2Bl.a. CCRA och svensk standard EN ISO/IEC 17065:2012 innehåller krav på certifierings- organs opartiskhet och oberoende.
3Se bl.a. kapitel 5 i utredningens delbetänkande.
379
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
cybersäkerheten i
Det europeiska ramverket för cybersäkerhetscertifiering, dvs. EU:s cybersäkerhetsakt och anslutande genomförandeordningar, innebär att det införs ett omfattande och komplext system på europeisk nivås om ska bidra till att öka informations- och cybersäkerheten i sam- hället, bl.a. i ovan angivna system. I ramverket behandlas och regleras frågor om bl.a. certifiering av
Den nuvarande nationella ordningen för certifiering av
I 5 § förordningen med instruktion för Försvarets materielverk (FMV) anges att det vid myndigheten ska finnas ett nationellt certi- fieringsorgan för
CSEC har till uppgift att utveckla den nationella certifierings- ordningen för
4Europaparlamentets och Rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93.
380
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
CSEC ska även licensiera evalueringsföretag och utöva tillsyn över deras verksamhet samt bidra med stöd och råd vid utnyttjandet av CC för kravspecifikation.
CSEC deltar även i internationellt samarbete för tolkningar av CC och utveckling av standarder samt marknadsför CC. CSEC represen- terar Sverige i arbetet inom ramen för Common Criteria Recognition Arrangement (CCRA) i rollerna som nationellt certifieringsorgan och signatär, där samverkan för närvarande sker mellan 31 länder, var- av 17 är ackrediterade att utfärda certifikat upp till och med evaluer- ingsnivå EAL2 och upp till EAL4 för skyddsprofiler med tillhörande stöddokument.
CSEC representerar även Sverige inom den europeiska organisa- tionen
Medlemmarna i CCRA- och
CSEC representerar även FMV i det nationella cybersäkerhets- centret, som är under etablering (se kapitel 3).
CSEC verkar i nära samarbete med Militära underrättelse- och säkerhetstjänsten (MUST) i nationella frågor om krypto. MUST granskar och godkänner också
Den svenska myndigheten Swedac är nationellt ackrediterings- organ. Det innebär att myndigheten bl.a. ackrediterar evaluerings- laboratorier, certifieringsorgan och kontrollorgan enligt internatio- nella standarder och regelverk. Myndigheten ger även råd i frågor om teknisk kontroll och i frågor om s.k. bedömning av överensstäm- melse. Swedac ackrediterade CSEC som nationellt certifieringsorgan 2008. Swedac utövar även regelbunden tillsyn över CSEC för att säkerställa att certifieringsorganet håller den standard som ligger till grund för ackrediteringen.
381
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
12.3Finns krav på evaluering/testning av
Som redovisas i kapitel 3 finns i dag ingen allmän reglering med krav på säkerhet i nätverks- och informationssystem i samhället. Som ut- redningen redovisar i kapitel 6 och 7 finns i dag en detaljerad reglering för skydd av säkerhetskänslig verksamhet i form av säkerhetsskydds- lagen, säkerhetsskyddsförordningen och tillsynsmyndigheternas före- skrifter med krav på olika säkerhetsskyddsåtgärder, bl.a. i form av informationssäkerhetsåtgärder i säkerhetsskyddad verksamhet. Dessa senare författningar innehåller dock inga formella krav på certifiering av
Frågan som då uppkommer är om – i de fall det finns en reglering av informationssäkerhet på andra samhällsviktiga områden – det före- kommer krav på att
Det blir då närmast fråga om författningsreglering som gäller för
–statliga myndigheters verksamhet allmänt,
–samhällsviktiga och digitala tjänster i anslutning till
–övriga samhällssektorer.
Krav på informationssäkerhet i statliga myndigheters verksamhet
Myndigheten för samhällsskydd och beredskap (MSB) har med stöd av 21 § förordningen (2015:1052) om krisberedskap och bevaknings- ansvariga myndigheters åtgärder vid höjd beredskap utfärdat före- skrifter som ansluter till bestämmelserna om statliga myndigheters informationssäkerhet i 19 § i förordningen. Av 19 § i förordningen följer att varje myndighet har ansvar för säker informationshanter- ing. Ansvaret gäller även när myndighetens information hanteras av en extern aktör eller när myndigheten tillhandahåller andra aktörer tjänster för informationshantering inom
382
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
I 1 § i myndighetens föreskrifter om informationssäkerhet för statliga myndigheter5 anges att dessa avser sådana säkerhetskrav som avses i 19 § i den angivna förordningen. Av 2 § följer att om en annan författning innehåller en bestämmelse som ställer högre krav än vad som anges i dessa föreskrifter tillämpas den bestämmelsen.
Av 4 § följer att en myndighet ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av standarderna
–Ledningssystem för informationssäkerhet – Krav och
I 5 § anges att informationssäkerhetsarbetet ska utformas utifrån de risker och behov myndigheten identifierar. Det ska omfatta all behandling av information som myndigheten ansvarar för och integ- reras med myndighetens befintliga sätt att leda och styra sin orga- nisation
Av 6 § följer att myndigheten ska säkerställa att informations- säkerhetsarbetet är systematiskt och riskbaserat genom att
–klassa sin information avseende konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser ett bristande skydd kan få (informationsklassning),
–identifiera, analysera och värdera risker för sin information (risk- bedömning),
–utifrån genomförd informationsklassning och riskbedömning identifiera behov av och införa ändamålsenliga och proportionella säkerhetsåtgärder, och
–utvärdera säkerhetsåtgärderna och vid behov anpassa skyddet av informationen. I arbetet ingår att genomföra en gapanalys.
5Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).
383
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
MSB har även med stöd av 21 § förordningen (2015:1052)1 om kris- beredskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap utfärdat föreskrifter och allmänna råd om säkerhets- åtgärder i informationssystem för statliga myndigheter.6 Dessa före- skrifter innehåller bestämmelser om sådana säkerhetskrav som avses i 19 § förordningen (2015:1052) om krisberedskap och bevaknings- ansvariga myndigheters åtgärder vid höjd beredskap. Om en annan författning innehåller en bestämmelse som ställer högre krav än kraven i dessa föreskrifter tillämpas den bestämmelsen.
Med begreppet informationssystem i föreskrifterna avses appli- kationer, tjänster eller andra komponenter som hanterar informa- tion samt nätverk och infrastruktur. Av 3 kap 1 § i föreskrifterna följer att en myndighet ska vid anskaffning, utveckling eller utkon- traktering av informationssystem identifiera krav på säkerhet i syste- met. I myndighetens allmänna råd till den angivna bestämmelsen anges att ”vid anskaffning av informationssystem bör myndigheten överväga att välja produkter som är certifierade genom tredjeparts- granskning mot etablerad standard.” Några formella krav på att an- vända certifierade
Krav på informationssäkerhet för samhällsviktiga och digitala tjänster
Till grund för den nationella författningsregleringen om informa- tionssäkerhet för samhällsviktiga och digitala tjänster ligger Europa- parlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen
I
6Myndigheten för samhällsskydd och beredskaps föreskrifter om säkerhetsåtgärder i infor- mationssystem för statliga myndigheter (MSBFS 2020:7).
384
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
a)Systematisk förvaltning av nät- och informationssystem, vilket avser mappning av informationssystem och fastställande av ett antal ändamålsenliga policyer för hantering av informationssäker- heten, inklusive riskanalys, mänskliga resurser, driftssäkerhet, säker- hetsarkitektur, säker livscykelhantering av data och system och, i förekommande fall, kryptering och hantering av sådan kryptering.
b)Fysisk säkerhet och miljösäkerhet, vilket avser tillgången till ett antal åtgärder för att skydda säkerheten för nät- och informa- tionssystem hos leverantörer av digitala tjänster från skador med användning av en riskbaserad strategi som omfattar alla faror och som t.ex. omfattar systemfel, den mänskliga faktorn, avsiktligt skadliga handlingar eller naturfenomen.
c)Försörjningstrygghet, vilket avser införande och upprätthållande av lämpliga policyer för att säkerställa tillgängligheten och i före- kommande fall spårbarheten för kritiska insatsprodukter som används för tillhandahållandet av tjänsten.
d)Åtkomstkontroll för nät- och informationssystem, vilket avser tillgången till en uppsättning åtgärder för att säkerställa att den fysiska och logiska åtkomsten till nät- och informationssystem, inklusive administrativ säkerhet för nät och informationssystem, tillåts och begränsas baserat på verksamhetskrav och säkerhets- krav.
I Kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018 om tillämpningsföreskrifter för Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen finns närmare specificering av de aspekter som ska beaktas av leve- rantörer av digitala tjänster när de hanterar risker som hotar säker- heten i deras nät- och informationssystem samt parametrarna för fastställande av om en incident har avsevärd inverkan.7
7Kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018 om till- lämpningsföreskrifter för Europaparlamentets och rådets direktiv (EU) 2016/1148 om åt- gärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen vad gäller närmare specificering av de aspekter som ska beaktas av leverantörer av digitala tjänster när de hanterar risker som hotar säkerheten i deras nät- och informationssystem samt parametrarna för fastställande av om en incident har avsevärd inverkan. I förordningen fram- hålls att enligt direktiv (EU) 2016/1148 bör (1) leverantörer av digitala tjänster fritt kunna vidta de tekniska och organisatoriska åtgärder som de anser lämpliga för att hantera risker för
385
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
I lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster finns bestämmelser om informationssäkerhet för sådana tjänster. Lagen gäller för (1) leverantörer av det slag som anges i bilaga 2 till
I 5 § i förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster anges att leverantörer av sam- hällsviktiga tjänster och leverantörer av digitala tjänster ska när det gäller organisatoriska och tekniska åtgärder beakta europeiska och
säkerheten i deras nät- och informationssystem, om dessa åtgärder säkerställer en lämplig säker- hetsnivå och tar hänsyn till de aspekter som föreskrivs i direktivet. (2) När leverantörer av digitala tjänster fastställer vilka tekniska och organisatoriska åtgärder som är ändamålsenliga och proportionella bör de ta ett systematiskt grepp på informationssäkerheten och tillämpa ett riskbaserat tillvägagångssätt. (3) För att garantera säkerheten för system och anläggningar bör leverantörer av digitala tjänster genomföra bedömnings- och analysförfaranden. Förfaran- dena bör omfatta en systematisk förvaltning av nät- och informationssystem, fysisk säkerhet och miljösäkerhet, försörjningstrygghet och åtkomstkontroll. (4) När leverantörer av digitala tjänster utför en riskanalys inom ramen för en systematisk förvaltning av nät- och informa- tionssystem bör de uppmuntras att identifiera särskilda risker och kvantifiera deras betydelse, t.ex. genom att identifiera hot mot kritiska tillgångar och hur dessa hot påverkar driften och fastställa hur de bäst kan begränsas baserat på befintlig kapacitet och befintliga resurskrav.
(5)Policyn för mänskliga resurser kan avse förvaltningen av kompetens, inklusive aspekter förbundna med utvecklingen av säkerhetsrelaterad kompetens och åtgärder för att öka med- vetenheten. Vid fastställandet av ett antal ändamålsenliga policyer för driftssäkerhet bör leve- rantören av digitala tjänster uppmuntras att ta hänsyn till aspekter rörande förändringshanter- ing, sårbarhetshantering, formaliserade drifts- och förvaltningsmetoder och systemmappning.
(6)Policyerna för säkerhetsarkitektur kan i synnerhet omfatta segregering av nätverk och system liksom specifika säkerhetsåtgärder för kritisk drift såsom förvaltningsdrift. Segreger- ingen av nätverk och system kan göra det möjligt för en leverantör av digitala tjänster att skilja mellan element som dataflöden och datorresurser som hör till en kund, en grupp av kunder, leverantören av digitala tjänster eller tredje part.
386
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
internationellt accepterade standarder och specifikationer vid ut- formningen av säkerhetsåtgärder.
Av 6 § följer att vid bedömningen av om säkerhetsåtgärder enligt
15 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster säkerställer en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till risken, ska bl.a. beaktas säkerheten i system och anläggningar (punkten 1), hanter- ing av driftskontinuitet, övervakning (punkten 3), revision och test- ning (punkten 4), och efterlevnad av internationella standarder (punk- ten 5). I förordningen anges vidare att i artikel 2 i kommissionens genomförandeförordning om leverantörer av digitala tjänster finns bestämmelser som närmare anger vad som avses med bl.a. punk- terna 1 och
I förordningen anges vidare att Myndigheten för samhällsskydd och beredskap får, efter att ha gett tillsynsmyndigheterna och Social- styrelsen tillfälle att yttra sig, meddela föreskrifter om systematiskt och riskbaserat informationssäkerhetsarbete enligt 11 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Statens energimyndighet, Transportstyrelsen, Finansinspek- tionen, Livsmedelsverket och Post- och telestyrelsen får meddela föreskrifter om säkerhetsåtgärder enligt
Myndigheten för samhällsskydd och beredskap har med stöd av den angivna lagen och förordningen meddelat föreskrifter om informa- tionssäkerhet för leverantörer av samhällsviktiga tjänster med krav på att aktörer med verksamhet inom samhällsviktiga tjänster ska be- driva ett systematiskt arbete med informationssäkerhet och vidta åtgärder som stärker
387
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
nätverk och informationssystem (punkten 2), utifrån genomförd in- formationsklassning och riskbedömning införa ändamålsenliga och proportionella säkerhetsåtgärder (punkten 3) samt följa upp och ut- värdera säkerhetsåtgärder i syfte att vid behov anpassa skyddet av informationen (punkten 4). Av 10 § följer att en leverantör ska ha interna regler och arbetssätt som säkerställer att samtliga nätverk och informationssystem för samhällsviktiga tjänster uppfyller identifierade behov av informationssäkerhet. Drift och förvaltning över tid, arkitek- tur samt sammankoppling mot andra nätverk och informationssystem ska särskilt beaktas.
De angivna sektorsmyndigheterna/tillsynsmyndigheterna inom respektive sektor har rätt att meddela föreskrifter på respektive område.8
Post och telestyrelsen har utfärdat myndighetsföreskrifter och all- männa råd om säkerhetsåtgärder för samhällsviktiga tjänster inom sektorn digital infrastruktur (TSFS 2021:3)9 I föreskrifterna finns bestämmelser om säkerhetsåtgärder för nätverk och informations- system enligt
8Statens energimyndighet, Transportstyrelsen, Finansinspektionen, Livsmedelsverket och Post- och telestyrelsen. Socialstyrelsen får meddela sådana föreskrifter för Inspektionen för vård- och omsorgs tillsynsområde.
9Post- och telestyrelsen har utfärdat föreskrifterna och allmänna råd med stöd av stöd av 8 § förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster.
388
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
om riskbedömningen i det aktuella fallet påvisar att säkerheten i den samhällsviktiga tjänsten kan upprätthållas. Av 7 § följer att eventu- ella åtgärder ska dokumenteras. Några formella krav på certifiering av
I Statens energimyndighets föreskrifter och allmänna råd om risk- analys och säkerhetsåtgärder för nätverk och informationssystem inom energisektorn (STEMFS 2021:3)10 föreskrivs i 2 § att leve- rantören ska upprätta en systemförteckning över sin IT och OT genom att kartlägga och analysera de IT- och
Inga av de övriga angivna sektorsmyndigheterna/tillsynsmyndig- heterna har på motsvarande sätt som PTS eller Statens energimyn- dighet utfärdat några föreskrifter och allmänna råd om riskanalys och säkerhetsåtgärder för nätverk och informationssystem hos leve- rantörer av samhällsviktiga tjänster.
Utredningen kan notera att varken i MSB:s föreskrifter eller i någon av sektorsmyndigheternas förskrifter ställs sålunda några for- mella krav på att
10Statens energimyndighets föreskrifter och allmänna råd om riskanalys och säkerhetsåtgärder för nätverk och informationssystem inom energisektorn (STEMFS 2021:3).
389
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
Informationssystem i verksamhet hos kommuner och regioner
Det finns i dag inte någon formell författningsreglering med krav på att använda certifierade
Näringslivet och företag
På motsvarande sätt som gäller för kommuner och regioner finns det för enskilda företag eller enskilda organisationer i dag inte någon formell författningsreglering med krav på att använda certifierade
12.4Finns krav på certifiering i andra länder?
Utredningen har genomfört en översiktlig kartläggning av om det i andra jämförbara länder finns reglering som innefattar krav på certi- fiering av
Utredningen kan konstatera att det framkommer en splittrad bild av förekomsten av reglering med krav på certifiering av
I Norge ställs i nationell författning krav på att verksamheter vid valet av säkerhetsåtgärder använder evaluerade produkter och tjäns- ter om dessas funktion är avgörande för att personer inte obefogat ska få tillgång till hemlig eller kvalificerat hemlig information och
390
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
inte heller påverkar driften av kritisk infrastruktur. Evalueringen ska utföras av den nationella säkerhetsmyndigheten (NSM) eller ett ackre- diterat laboratorium som utsetts av NSM. Kraven på själva evaluer- ingen kan uppfyllas genom en certifiering utfärdat av NSM eller ett ackrediterat certifieringsorgan som utsetts av NSM.11
Av inhämtade uppgifter framgår att det finns myndigheter i Finland med ansvar för nationell informations- och cybersäkerhet samt uppgiften att godkänna vissa informationssystem. Några natio- nella krav på certifiering av sådana system har dock inte framkommit. Det kan i vissa fall vara obligatoriskt att inhämta intyg om godkän- nande från behörig myndighet för informationssystem som behand- lar säkerhetsklassificerad information.
I Danmark finns krav på cybersäkerhetscertifiering i fråga om säkerheten i nätverks- och informationssystem, främst i vissa sek- torer (bl.a. inom transport och sjöfart). För statliga myndigheter finns också krav på att ackreditering av informationssystem som an- vänds för klassificerad information. Sådana system kan vara föremål för certifiering och/eller godkännande.
I Nederländerna finns centrala myndigheter med ansvar för nationell cybersäkerhet, evaluering respektive godkännande av informations- säkerhetsprodukter och system för att skydda särskild information av betydelse för staten. Några nationella krav på formell certifiering av nedan angivna system och produkter har inte kunnat noteras. Produkter för information som kan medföra negativa konsekvenser för staten ska dock evalueras av den nationella byrån för kommuni- kationssäkerhet (NBV). Arbetsgruppen för särskild informations- säkerhet, WBI, lämnar sedan råd till Inrikesministeriet som har att godkänna användningen av informationssäkerhetssystem och dess komponenter. Vidare kan användning av viss mjukvaruutrustning som omfattas av försvarskontrakt förutsätta godkännande av s.k. säker- hetskontor.
I Tyskland finns myndigheter med ansvar för informationssäker- het och certifiering respektive godkännande av
11Det rör sig här inte om ett absolut krav på certifiering, utan överensstämmelse kan visas även på andra sätt.
391
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
formationssäkerhetskoncept i enlighet med angivna standarder. Dess- utom finns krav på sekretesskydd som går utöver det grundläggande
I Frankrike finns centrala myndigheter med ansvar för nationell informations- och cybersäkerhet. Myndigheterna ansvarar för evaluer- ing och
I Storbritannien finns myndigheter med ansvar för nationell informations- och cybersäkerhet samt certifiering av IKT. I fråga om produkter som hanterar hemlig information krävs särskilt utvecklat skydd. På denna nivå används normalt inte vanligen förekommande kommersiella lösningar. Tillgång till känslig information ska endast ges till auktoriserade system. Företag som tillhandahåller vissa IKT- produkter och
I USA finns flera departement och federala myndigheter med ansvar för nationell informations- och cybersäkerhet. Det finns krav
12Om
392
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
på att driftsättningen av federala informationssystem ska godkännas av behöriga federala tjänstemän. Nationella säkerhetssystem som be- handlar nationell säkerhetsinformation fordrar ytterligare säkerhets- krav som behöver godkännas. Vidare ska sådana system genomgå en oberoende tredjepartsbedömning där systemets överensstämmelse med särskilda instruktioner på området valideras. I USA kan kom- mersiella informationssäkerhetsprodukter i förhållandevis stor ut- sträckning användas för att skydda nationella säkerhetssystem och klassificerad information (om lösningarna är godkända av NSA och assuransfunktionerna validerade).
I Kanada finns myndigheter med ansvar för informations- och cybersäkerhet samt certifiering av IKT. Federala departement och myndigheter måste ha sina
I Nya Zeeland finns departement med ansvar för informations- och cybersäkerhet, bl.a. när det gäller nationell säkerhet. Statliga nationella myndigheter som hanterar hemlig information om natio- nen är skyldiga att ha kontroll över sina system och hålla informa- tionen säker.
393
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
I Australien finns myndigheter med ansvar för informations- och cybersäkerhet samt uppgifterna att evaluera respektive certifiera IKT. När det gäller information om statliga angelägenheter som tillhör regeringen behöver berörda
12.5Överväganden
12.5.1Behov av att stärka säkerheten i nätverks- och informationssystem
Utredningen ska – enligt direktiven - överväga om det finns behov av att stärka säkerheten i nätverks- och informationssystem i säker- hetskänslig verksamhet, t.ex. genom att det införs en nationell sär- skild anpassad ordning med krav på certifiering av
Utgångpunkten för utredningens överväganden när det gäller frå- gan om det finns anledning att införa en nationell särskilt anpassad ordning för certifiering av
Utredningens experter på informations- och cybersäkerhet, bl.a. på området för evaluering och certifiering, har framhållit att IKT- produkter,
394
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
vidtas inom ramen för ett systematiskt informationssäkerhetsarbete och i arbetet med att stärka
Utredningen tolkar vidare uppdraget när det gäller frågan om det finns anledning att införa en nationell särskilt anpassad ordning för certifiering av
12.5.2Förutsättningar för en nationell certifieringsordning för säkerhetskänslig verksamhet
Befintligt regelsystem
Frågan om krav på certifiering av
395
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
Den fråga som inledningsvis uppkommer är om nu gällande regel- system för informationssäkerhet i säkerhetskänslig verksamhet ger stöd för att närmare reglera och ställa krav på användning av evalue- rade och certifierade
Av 4 § första stycket i säkerhetsskyddsförordningen framgår – när det gäller säkerhetskrav för informationssystem som används i säkerhetskänslig verksamhet – att en verksamhetsutövare som an- svarar för ett informationssystem som ska användas i sådan verksam- het ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehö- rig avlyssning av, åtkomst till och nyttjande av informationssyste- met. Av 6 § följer att Säkerhetspolisen och Försvarsmakten får inom respektive myndighets tillsynsområde meddela föreskrifter om undan- tag från kraven i 4 §.
Utredningen noterar att av Säkerhetspolisen förskrifter om gransk- ning vid utveckling och anskaffning av informationssystem i säker- hetskänslig verksamhet framgår att verksamhetsutövaren ska se till att egenutvecklad programvara i informationssystem som har bety- delse för säkerhetskänslig verksamhet granskas för att upptäcka och åtgärda säkerhetsbrister och sårbarheter (4 §). Vidare anges att verk- samhetsutövaren ska se till att tredjepartsprogramvara i informations- system som har betydelse för säkerhetskänslig verksamhet granskas för att upptäcka och åtgärda säkerhetsbrister och sårbarheter, eller att programvaran på annat sätt bedöms vara tillförlitlig från säker- hetsskyddssynpunkt (5 §).
Utredningens experter från Säkerhetspolisen respektive För- svarsmakten har under utredningsarbetet gjort bedömningen att nu gällande författningsreglering av säkerhetsskydd i och för sig ger stöd för att meddela föreskrifter som anger att en verksamhetsutövare i vissa fall ska använda
Utredningen gör därför bedömningen att nuvarande författnings- reglering ger tillräckligt utrymme för tillsynsmyndigheterna att – vid behov – kunna meddela närmare föreskrifter om krav på användning av evaluerade och certifierade
396
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
Den nationella ordningen för certifiering av
I detta sammanhang kan noteras att det finns en nationell ordning för certifiering av
Här uppkommer även frågan vilken uppgift och roll som det nationella certifieringsorganet CSEC bör och kan ha när det kom- mer till frågan om evaluering och certifiering av
Frågan om vilken betydelse den befintliga nationella ordningen för certifiering av
Det europeiska ramverket för cybersäkerhet
För nationellt vidkommande uppkommer även frågan vilken bety- delse och påverkan som certifieringsordningar inom ramen för det europeiska ramverket för cybersäkerhetscertifiering – utöver vad som följer direkt av tillämpningsområdet för dessa ordningar – kan få för arbetet med att stärka den nationella informations- och cybersäker-
397
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
heten, och särskilt vad gäller nätverks- och informationssystem i säker- hetskänslig verksamhet.
Utredningen noterar att de olika certifieringsordningar som kom- mer att etableras inom ramen för det europeiska ramverket för cyber- säkerhetscertifiering kan förväntas användas för certifiering av allt från programvaror, IoT, molntjänster till olika styr- och kontrollsystem, dvs. många olika former och typer av informations- och kommuni- kationsteknologi (IKT) och som berör nätverks- och informations- system.
Utredningens experter har under utredningsarbetet framhållit behovet av att fler certifierade
Målbilden bör vara att certifierade
Frågan uppkommer om det finns behov av att, utöver den redan befintliga nationella certifieringsordningen för
I anslutning till denna frågeställning uppkommer även frågan om certifiering enligt de ordningar som skapas inom ramen för det euro- peiska ramverket för cybersäkerhet kan/bör användas på detta om- råde och om det eventuellt föreligger behov av en kombination av sådana certifieringsordningar.
13Denna nationella certifieringsordning kan delvis eller helt komma att upphöra när mot- svarande europeiska certifieringsordningar antas inom ramen för EU:s cybersäkerhetsakt.
398
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
Utkast till reviderat
Det kan i detta sammanhang noteras att det för närvarande pågår ett arbete med att utveckla
En fråga som då uppkommer i detta sammanhang är om det finns skäl att överväga krav på certifieringar av
Vidare uppkommer frågan om den praktiska tillämpningen av krav på säkerhet i nätverks- och informationssystem enligt
Det kan därför ifrågasättas om inte säkerhetskraven på
Utredningen vill i detta sammanhang betona vikten att det skapas förutsättningar för att det utvecklas fler certifierade
399
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
på och behovet av ökad säkerhet i verksamheter som rör samhälls- viktiga och digitala tjänster.
Förslag till
Ett syfte med det föreslagna direktivet är att införa harmonise- rade minimiregler för att säkerställa tillhandahållandet av samhälls- viktiga tjänster på den inre marknaden och öka kritiska entiteters motståndskraft. För att uppnå det målet bör medlemsstaterna iden- tifiera kritiska entiteter som bör omfattas av särskilda krav och till- syn, men också särskilt stöd och vägledning för att uppnå en hög motståndskraft mot alla relevanta risker. Därmed ska medlemssta- terna enligt förslaget säkerställa att kritiska entiteter vidtar lämpliga och proportionella tekniska och organisatoriska åtgärder för att säker- ställa sin motståndskraft samt kan genomföra säkerhetskontroller av personal. Några uttryckliga krav på certifiering anger direktivet emeller- tid inte.
14Europaparlamentets och rådets direktiv 2019/944 av den 5 juni 2019 om gemensamma regler för den inre marknaden för el.
15Europaparlamentets och rådets förordning (EU) 2019/943 om den inre marknaden för el.
400
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
Behovet av nationell kravställning
Utredningens experter har vidare betonat behovet och vikten av att det finns en gemensamt framtagen och fastställt nationell kravställ- ning som kan ligga till grund för evaluering och certifiering av IKT- produkter,
Frågan som också uppkommer är hur arbetet med att styra, orga- nisera och resurssätta arbetet med framtagande av en kravställning ska ske, bl.a. vilken eller vilka myndigheter som ska delta och vilka andra berörda aktörer som är involveras i arbetet. Utredningen be- dömer att utgångspunkten här bör vara att det är en statlig myndig- het som får ansvaret för att utveckla och fastställa kravbilden och säkerhetskrav när det gäller säkerhetskänslig verksamhet och i övrigt på nivån hög inom ramen för det europeiska ramverket för cyber- säkerhetscertifiering.
Behovet av nationell sammanställning över certifierade och rekommenderade
Utredningens experter har även påpekat att en grundläggande för- utsättning för att kunna ställa krav – vid behov med stöd av författ- ning – på att certifierade
Marknadsfrågor
Flera av utredningens experter på detta område har under utred- ningsarbetet även ifrågasatt om det kan anses föreligga tillräckliga förutsättningar för att införa en nationell särskilt anpassad ordning
401
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
med krav på certifiering av
Förekomsten av certifieringsordningar i andra jämförbara länder
Utredningen har genom den internationella utblicken eftersträvat att få en översiktlig bild över förekomsten av certifieringsordningar för nätverks- och informationssystem som används inom området för nationell säkerhet i andra länder. Det ska noteras att den inter- nationella utblicken och kartläggningen i allt väsentligt grundas på tillgänglig offentlig information som kunnat återfinnas på berörda myndigheters hemsidor. I syfte att kvalitetssäkra information har även skriftliga frågor ställts till myndigheterna. Mot bakgrund av att frågeställningarna rör frågor med beröring till nationell säkerhet och försvar har myndigheternas svar av naturliga skäl varit av skiftande slag och digitala möten har inte kunnat avhjälpa bristen av att på plats i olika länder kunna diskutera och inhämta information i frågor av känslig natur. Detta har medfört en begränsning av utredningens möjligheter att få ett fullgott underlag i denna del och informationen i den internationella utblicken ska bedömas mot denna bakgrund.
Den internationella utblicken – med ovan angivna begränsningar
–ger vid handen att det i några med Sverige jämförbara länder finns regleringar som behandlar certifiering av
402
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
I bl.a. Norge är föreskrivet i författning att
12.5.3Inhämtade synpunkter från Säkerhetspolisen och Försvarsmakten
Utredningen har begärt att Säkerhetspolisen, i egenskap av tillsyns- myndighet för den civila delen av tillämpningsområdet för säkerhets- skyddsregleringen och där behovet av ytterligare säkerhetsskydds- åtgärder för nätverks- och informationssystem framstår som mest akut, ska lämna myndighetens bedömning över ett eventuellt behov av att införa en nationell särskilt anpassad certifieringsordning för den säkerhetskänsliga verksamheten.
Säkerhetspolisen, som samrått med Försvarsmakten i denna fråga, bedömer att det kan finnas både för- och nackdelar med särskilda certifieringsordningar för nätverk- och informationssystem i säker- hetskänslig verksamhet, men anser att det för närvarande är oklart om fördelarna överväger, bl.a. om säkerheten skulle öka i de nät- verks- och informationssystem som certifieras. Myndigheten anser att det inte är klarlagt om certifiering är den åtgärd som skulle lösa de brister i säkerhetsskyddet som har konstaterats. Effekterna av ytter- ligare krav på certifiering av
Säkerhetspolisen pekar vidare på att det för närvarande är osäkert vilken påverkan som framtida certifieringar inom ramen för det
16I exempelvis Tyskland ska vissa
403
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
europeiska ramverket för cybersäkerhetscertifiering kan få för möj- ligheten att stärka säkerheten i nätverks- och informationssystem. Myndigheten kommer att behöva förhålla sig till de certifieringar som kommer att utfärdas med stöd av olika certifieringsordningar enligt EU:s cybersäkerhetsakt. Detta förhållningssätt kan med för- del förtydligas genom att behöriga myndigheter inom säkerhets- skyddet i föreskrifter och genom vägledning anger hur verksamhets- utövare ska förhålla sig till och tillämpa sådana certifieringar.
Säkerhetspolisen anser sammanfattningsvis att en nationell sär- skild anpassad certifieringsordning för säkerhetskänslig verksamhet inte bör tas fram i nuläget och dessutom behöver frågan om effek- terna av sådan certifieringsordning på säkerheten i nätverks- och in- formationssystem utredas närmare.
12.5.4Behovet av gemensam och fastställd kravbild
Flera av utredningens experter har samstämmigt framhållit att en grundläggande förutsättning för att överväga införande av en nationell särskilt anpassad ordning för certifiering av
Utredningen anser att det är av betydande nationellt intresse att en formell struktur etableras för arbetet med att ta fram en gemen-
404
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
sam
Formerna för arbetet med kravställning
Utgångspunkten för all certifiering är att det finns krav på det som ska certifieras och en ordning för hur detta ska ske, hur gransk- ningen och evalueringen ska gå till. Detta gäller oaktat vilken typ av
En vanlig utgångspunkt är en internationell standard som tagits fram för ändamålet, t.ex. en
När det gäller höga krav på
Som beskrivs i utredningens delbetänkande (SOU 2020:58) till- låts privata certifieringsorgan endast att utfärda certifikat på nivån ”grundläggande” eller ”betydande”. För nivån ”hög”, som kan anses motsvara säkerhetskraven i säkerhetskänslig verksamhet, är det den nationella myndigheten för cybersäkerhetscertifiering som är behörig.18 Med den utgångspunkten uppkommer frågan hur formerna för arbe- tet med att ta fram en nationell kravbild ska se ut och vilken eller vilka myndigheter som bör ansvara för detta arbete.
17Denna ordning beskrivs i utredningens delbetänkande EU:s cybersäkerhetsakt – komplette- rande bestämmelser om cybersäkerhetscertifiering (SOU 2020:58). Där beskrivs certifiering och betydelsen av standarder i evaluerings- och certifieringsarbetet (s. 75 ff.).
18Se avsnitt 3.5 i delbetänkandet.
405
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
Tidigare och pågående arbete med kravställning
Utredningen kan notera att berörda myndigheter har inom ramen för samverkan i SAMFI bedrivit olika arbeten för att ta fram gemen- samma skyddsprofiler för
I den Nationella handlingsplanen för samhällets informationssäkerhet från 2012 redogörs för arbetet och där bl.a. målet för detta anges som:
Att svenska myndigheter, och andra verksamheter, ska få stöd vid upp- handling av
Den föreslagna åtgärden innebar att bl.a.:
–utveckla och certifiera skyddsprofiler,
–ta fram föreskrifter (MSB) med krav på
–ta fram råd och anvisningar för hur verksamheter kan använda produkter som certifieras för att uppnå god informationssäkerhet.
Genomförandet av arbetet med föreslagna åtgärder skulle ske enligt följande:
–Arbetet med skyddsprofiler skulle genomföras av MSB med stöd av FMV/CSEC och experter från övriga myndigheter i SAMFI.
–Arbetet med föreskrifter med krav på
I Samlad informations- och cybersäkerhetshandlingsplan för åren
–etablera och förvalta en referenslista för
19Kapitel 5.2 – Ökad användning av
20Kapitel 1.1.13.
406
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
–utveckla säkerhetskrav för specifika
–utveckling och anskaffning av
Utredningen kan notera att det historiska nationella arbetet kring säkerhetskrav på
Utredningen kan också notera att frågan om kravställning på
Närmare om arbetet med att ta fram skyddsprofiler
Det kan noteras att det arbete som bedrivits nationellt har från början utgått från CCRA och inom ramen för detta alltmer utifrån arbetet med så kallade Collaborative protection profiles (CPP). Arbete med CPP har internationellt bedrivits inom ramen för CCRA och där inom olika arbetsgrupper, s.k. International Technical Com- munities (iTC). De iTC som skapas inom ramen för arbetet i CCRA i syfte att ta fram en CPP utgörs främst av olika experter från natio-
21Kapitel 1.3.5.
407
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
nella myndigheter, produktleverantörer, laboratorier, och andra in- tressenter med.
I Sverige har arbeten med flera olika CPP genomförts, dels har svenska aktörer deltagit i det internationella arbetet inom ramen för iTC för olika internationella CPP, därtill har ett nationellt arbete bedrivits för Virtual Private Network (VPN), brandväggar, VoIP klienter till mobila enheter, m.m. Utgångspunkten för arbetet har varit att dessa
Utredningen bedömer att det sedan tidigare finns förutsättningar och en god grund för att etablera en mer strukturerad nationell pro- cess för kravställning i samband med certifiering av
Sammanfattningsvis gör utredningen bedömningen att denna typ av arbete och reglering av säkerhetsnivåer och krav måste ske i form av sammanhållet ansvar för samhällets informations- och cybersäker- het och utgå från en central instans (myndighet) med sådant ansvar.
Utredningen bedömer vidare att eftersom säkerhetsmässiga sam- beroenden är utbredda inom informations- och cybersäkerhetsom- rådet pekar detta mot att gemensamma certifieringsordningar inom ramen för det europeiska ramverket för cybersäkerhetscertifiering i framtiden kan komma att användas i stor utsträckning. Det medför även ett nationellt behov av att gemensamt med andra länder påverka och ta fram relevanta skyddsprofiler till grund för evaluering och certifiering av
408
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
utbredda säkerhetsberoendet innebär att nationell säkerhet kan till- varatas genom ett aktivt nationellt deltagande i utarbetandet av gemen- samma skyddsprofiler och ett sådant samarbete innebär inte avsteg från den egna rådigheten över nationell säkerhet och försvar.
För att kunna bevaka och tillvarata nationella intressen i detta sammanhang måste det finnas en nationell struktur som skapar för- utsättningar för att nationella krav kan bevakas vid
En annan förutsättning för att ställa krav på att verksamhets- utövare i första hand ska använda certifierade
12.5.5Behov av nationell sammanställning över certifierade och rekommenderade
Utredningen bedömer att en grundläggande förutsättning för att kunna ställa krav – vid behov med stöd av författning – på att certi- fierade
Statliga myndigheter bör – om det inte finns skäl att frångå rekom- mendationerna – utgå från denna sammanställning vid val av tekniska komponenter och lösningar för säkerhet i nätverks- och informa- tionssystem i sin verksamhet. Finns certifierade produkter som möter verksamhetens krav så ska de i första hand användas. Finns det inga certifierade
409
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
samhetens krav bör det rapporteras till myndigheten för att kunna återföras till framtida kravställning.
Aktörer som nyttjar
Det nu redovisade nationella systemet (ordningen) ger enligt utredningens bedömning betydande möjligheter att dra nytta av det europeiska ramverket för cybersäkerhetscertifiering för nationella ändamål när det gäller att stärka informations- och cybersäkerheten generellt i samhället, men särskilt i säkerhetskänslig verksamhet och samhällsviktig verksamhet. Detta förutsätter samtidigt att följande beaktas i den fortsatt utvecklingen av den föreslagna ordningen:
•Ska Sverige i större omfattning nyttja certifierade
•Vidare förutsätter det föreslagna ordningen att det finns ett tyd- ligt nationellt engagemang i arbetet med kommissionen och i Enisa:s arbete med det europeiska ramverket för cybersäkerhets- certifiering, dvs. arbetet med de framtida certifieringsordningarna. Om så inte sker finns – enligt utredningens bedömning – en uppen- bar risk för att det uppstår ett läge där Sverige nationellt ställer krav på nyttjande men inte deltar och påverkar utformningen och därmed inte heller utvecklar och tillgodoser säkerheten utifrån
410
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
nationella behov och krav. Det innebär att stora delar av de resur- ser som tillförs det nationella arbetet med det europeiska ram- verket med cybersäkerhetscertifiering inte kommer det nationella arbetet med att stärka informations- och cybersäkerheten tillgodo.
•För att åstadkomma ett ändamålsenligt och effektivt arbete med att stärka informations- och cybersäkerheten måste centrala myn- digheter ges tydliga roller och uppgifter samtidigt som ett aktivt deltagande av svensk industri i arbetet säkerställs. Det innebär att myndigheter med ansvar inom informations- och cybersäkerhet ska få ett tydligt uppdrag att delta i det nationella arbetet inom ramen för respektive ansvarsområde. De författningar som i dag primärt berörs är
Sammanfattningsvis anser utredningen att en nationell ordning med framtagande av den kravställning som utredningen föreslår ska tas fram och upprättandet av den ovan angivna sammanställningen be- höver utvecklas omgående och som bidrar till att möta ökade krav på säkerhet i nätverks- och informationssystem i säkerhetskänsliga respektive samhällsviktiga verksamheter. En sådan ordning bedöms också i betydande omfattning bidra till att resultaten av det euro- peiska ramverket för cybersäkerhetscertifiering kan återföras till det nationella arbetet med att stärka säkerheten i nätverks- och informa- tionssystem mer allmänt i samhället men särskilt vad gäller säker- hetskänslig respektive samhällsviktig verksamhet. En sådan ordning kommer därigenom även att i betydande omfattning bidra till att stärka utvecklingen av informations- och cybersäkerheten i totalförsvaret, såväl det civila som det militära försvaret.
Utredningen vill samtidigt betona att användningen av certifie- rade
411
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
plement och en åtgärd i det systematiska informations- och cyber- säkerhetsarbetet som också understödjer säkerhetsskyddskänslig verk- samhet. Övriga säkerhetsskyddsåtgärder i form av rekommendationer/ vägledningar kring
12.5.6Det föreligger f.n. inte behov av en nationell särskild ordning för certifiering i säkerhetskänslig verksamhet
Utgångspunkten är enligt direktiven att överväga om det finns skäl att införa en nationell särskilt anpassad certifieringsordning för IKT- produkter,
Som ovan anges måste ett antal grundläggande förutsättningar föreligga och andra faktorer beaktas för att överväga införande av en nationell anpassad ordning för (krav) certifiering av
–nuvarande regelsystem för säkerhetskänslig verksamhet,
–tillgång till en gemensam och fastställd nationell kravbild som byg- ger på en gemensam
–en nationell sammanställning över certifierade och rekommende- rade
–den fortsatta utvecklingen av det europeiska ramverket för cyber- säkerhetscertifiering, och
–tillgång till en tillräckligt omfattande nationell marknad, dvs. till- räcklig utbud och efterfrågan på certifierade
412
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
Nuvarande regelsystem
Frågan om behovet av och eventuella krav på användning av certi- fierade
I detta sammanhang bör uppmärksammas de svårigheter som uppkommer för en verksamhetsutövare i frågan vem som ska fast- ställa certifieringskrav, säkerhetsprofiler och andra eventuella krav på säkerhetsnivåer, m.m. och som bör ligga till grund för samrådet. Samrådsförfarandet, bl.a. vad avser rådgivning, rekommendationer, säkerhetsbeslut, m.m. i dessa frågor, försvåras redan i dag genom av- saknad av närmare reglering inom detta område.
Som framgår ovan bedömer utredningen att gällande regelsystem för säkerhetskänslig verksamhet medger tillsynsmyndigheterna redan i dag att inom ramen för föreskriftsrätten närmare reglera och ställa krav på att en verksamhetsutövare ska använda evaluerade och certi- fierade
Utredningen anser att denna möjlighet bör prövas i syfte att stärka säkerheten i nätverk- och informationssystem i säkerhetskänslig verk- samhet. Det kan t.ex. avse
413
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
Det kan dock uppstå behov av ytterligare evaluering av sådana pro- dukter, tjänster och produkter med anledning av de nationella säker- hetskrav som finns i säkerhetskänslig verksamhet.
Den nuvarande nationella ordningen för certifiering av
Som ovan framgår finns det i dag redan en nationell ordning för certi- fiering av
En gemensam och fastställd nationell kravbild
Som ovan framgår är en grundläggande förutsättning i sig för en natio- nell särskild anpassad ordning för certifiering tillgången på en av be- rörda myndigheter gemensam och fastställd nationell kravbild som i sin tur grundas på gemensam
Utredningen kan konstatera att frågan om kravställning på IKT- produkter,
414
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
digheter för informations- och cybersäkerhet arbetat med under en längre tid. I Samlad informations- och cybersäkerhetshandlingsplan för åren
Utredningen bedömer att behovet av ta fram en sådan kravställ- ning är angeläget och att detta arbete bör omgående påbörjas, efter- som det är av betydelse inte bara för möjligheten att åstadkomma ökad säkerhet i nätverks- och informationssystem i säkerhetskänslig verksamhet utan även har stor betydelse för möjligheterna att natio- nellt kunna påverka arbetet med att ta fram och certifiera säkra IKT- produkter,
Nationell sammanställning över certifierade och rekommenderade
Som tidigare framgår finns ett stort behov av en nationell samman- ställning över evaluerade och certifierade samt rekommenderade
Utvecklingen och effekter av det europeiska ramverket för cybersäkerhetscertifiering
Utvecklingen av olika certifieringsordningar inom ramen för det euro- peiska ramverket för cybersäkerhetscertifiering har betydelse för be- dömningen av behov av ytterligare ordningar för certifiering på natio- nell nivå av
415
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
informationssystem i säkerhetskänslig verksamhet. Vidare bör effek- terna – som också Säkerhetspolisen och Försvarsmakten anför – av utvecklingen av det europeiska ramverket för cybersäkerhetscerti- fiering beaktas och utvärderas innan en nationell särskilt anpassat ordning för certifiering införs, även om det inte finns några formella hinder i sig mot en sådan ordning eftersom det gäller frågor som rör bl.a. försvar och säkerhet.
Nationell marknad
Frågan om ett eventuellt införande av en nationell särskilt anpassad ordning för certifiering av
Vidare riskerar nationella certifieringskrav som t.ex. inte ansluter till gemensamma standarder att i betydande mån begränsa utbudet av tillgängliga
416
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
komma att ställa krav som går utöver de som gemensamt beslutats inom t.ex. det europeiska kryptosamarbetet. Detta skulle innebära att svenska företag på området skulle få konkurrensnackdelar gentemot övrig europeisk industri på området. Det väcker även frågan om det finns risk för uppkomsten av handelshinder gentemot andra med- lemsstater som godkänt
Utredningen bedömer att även ovan angivna marknads- och han- delsrelaterade frågor behöver analyseras ytterligare innan det kan bli aktuellt att införa en nationell ordning av det aktuella slaget.
Slutsatser i frågan om behovet av en nationell särskilt anpassad ordning för certifiering av
För att en nationell särskilt anpassad ordning för certifiering ska ha förutsättningar att fungera ställs krav på strukturer, funktioner och processer som i dag i viss mån saknas. Det har inte varit möjligt för utredningen att inom ramen för uppdraget, främst på grund av till- gänglig tid och resurser, att i tillräcklig omfattning utreda alla dessa frågor och det väcker även frågan om angivna frågor kan anses rym- mas i uppdraget som det formulerats i direktiven. Att utreda, överväga och föreslå om, och i sådana fall, hur angivna strukturer, funktioner och processer kan skapas och hur de bör och kan fungera, kräver i flera av frågorna långtgående analyser och klargöranden. Det har inte bedömts möjligt att inom ramen för utredningen – och som upp- draget formulerats – att genomföra denna typ av djupgående analy- ser och utredningar.
Flera av de ovan behandlade frågeställningarna är av sådan grund- läggande karaktär och behöver bli föremål för en djupare och samlad analys varför ett förslag att införa en nationell särskilt anpassad ord- ning för certifiering av
417
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
och
Sammanfattningsvis bedömer utredningen att det för närvarande inte finns tillräckliga skäl att införa en nationell särskilt anpassad ord- ning med krav på certifiering av
Det är viktigt att åtgärder som planeras införs fullt ut först när nationell kravställning och en sammanställning med certifierade och rekommenderade
Utredningen kan samtidigt notera att frågan om krav på och användning av certifierade
Behov av att öka användningen av certifierade
Utredningen vill i detta sammanhang samtidigt framhålla att det finns behov av att öka användningen av certifierade
22Till detta kommer att det kan finnas behov av att en nationell certifieringsordning anpassad för säkerhetskänslig verksamhet skapar synergier med eventuella krav, till följd av
418
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
på eget ansvar avgöra behovet av att använda certifierade
Myndigheten för samhällsskydd och beredskap (MSB) anger i och för sig i myndighetens allmänna råd att en statlig myndighet bör överväga – vid anskaffning av informationssystem – att välja produk- ter som är certifierade genom tredjepartsgranskning mot etablerad standard, med det är endast en rekommendation. En sådan åtgärd är därför frivillig för statliga myndigheter och det är oklart för utred- ningen i vilken utsträckning som myndigheterna följer detta råd.
Utredningen bedömer – som tidigare anges – att informations- och cyberssäkerheten i statliga myndigheters verksamhet behöver stärkas och en åtgärd är att myndigheterna i större utsträckning använder certifierade kommersiella
Genom att ställa krav på att statliga myndigheter att de bör an- vända certifierade
En ordning som innebär att i första hand bör certifierade, även kommersiella,
419
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
ge statliga myndigheter, men även andra aktörer, ett stöd i val av it- säkerhetsprodukter. Det skulle också medföra att det skapas ett grundläggande fundament som kan utvecklas vidare för att stärka säkerheten i nätverks- och informationssystem i olika verksamheter och därigenom även bidra till att möta krav i den säkerhetskänsliga verksamheten. Ett sådant grundläggande fundament saknas dock för närvarande eftersom det är upp till varje statlig verksamhetsutövare att i enlighet med ansvarsprincipen själv bedöma och besluta om vilka åtgärder som är nödvändiga för att stärka informations- och cybersäkerheten i den egna verksamheten.
Figur 12.1 Effekter av ökad användning av certifierade
Ökade krav på användning och en ökad tillgång på certifierade IKT- produkter,
420
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
och
Detta medför också att den befintliga verksamheten i det natio- nella certifieringsorganet CSEC vid Försvarets materielverk (FMV) bör kunna utnyttjas på ett mer ändamålsenligt och kostnadseffektivt sätt i verksamhet som gäller evaluering och certifiering av IKT- produkter,
Sammantaget gör utredningen bedömningen att alla åtgärder som tar sikte på att stärka säkerheten i nätverks- och informationssystem som inte omfattas av reglering av säkerhetsskyddskänslig verksam-
421
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
het bidrar till att mer allmänt höja nivån på informations- och cyber- säkerhet hos statliga myndigheter och därigenom även inom det säkerhetskänsliga området.
Utredningen kan samtidigt konstatera att frågan om eventuell ytterligare reglering av och krav på åtgärder mer allmänt för att stärka
12.6Uppdrag till berörda myndigheter
Utredningen bedömer att arbetet med att ta fram en nationell krav- ställning, dvs. en gemensamt framtagen och fastställd kravställning som grundas på en gemensam
Vilken myndighet som bör ansvara för detta arbete?
När det gäller frågan vilken eller vilka myndigheter som bör ges upp- giften och ansvaret för att leda och genomföra detta arbete kan ett antal myndigheter övervägas.
Försvarsmakten har etablerade strukturer för denna typ av krav- ställning. Myndighetens huvudsakliga uppgift finns dock i första hand på det militära försvarsområdet till stöd för Sveriges säkerhet varför en sådan uppgift framstår som mindre lämplig för den myn- digheten. Däremot bör myndigheten kunna delta i och stödja arbetet med att ta fram säkerhetskrav för
422
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
När det gäller Säkerhetspolisen så kan även den myndigheten övervägas då myndigheten har en helhetsbild över de hot som finns mot det civila samhällets säkerhetskänsliga verksamheter och kan därför vara den myndighet som har detta ansvar för kravställningen. Myndigheten har dock – på motsvarande sätt som Försvarsmakten
–i första hand ett ansvar för Sveriges säkerhet (förutom militärt för- svar) och inte ansvar för generell säkerhet för IKT för all samhälls- viktig verksamhet.
FRA har en mycket djup och omfattande teknisk kompetens inom informations- och cybersäkerhetsområdet. Myndigheten har också i uppdrag att stödja Försvarsmakten i verksamhet som avser utveckling och vidmakthållande av Försvarsmaktens cyberförsvars- förmåga. Verksamheten inom FRA är dock mer av teknisk karaktär där den förmåga myndigheten besitter är kritisk för Sveriges säker- het och där fokus är att nyttja denna unika förmåga till att stödja andra verksamheter. Med det som utgångspunkt är myndighetens roll mer att stödja i arbetet med att ta fram de mer tekniska kraven i en ordning som nu övervägs.
Utredningen bedömer att alla dessa tre myndigheter dock är cen- trala – var och en utifrån sina förutsättningar – för det kvalificerade arbetet som behöver ske i samband med att det tas fram en nationell kravställning för
MSB har i dag ett brett uppdrag och mandat på området för sam- hällets informations – och cybersäkerhet och har som ovan framgår en roll och uppgift på området inom ramen för
MSB har teknisk kompetens på området genom det arbete som myndigheten bedriver i sitt systematiska informationssäkerhetsarbete men myndigheten skulle behöva att i viss omfattning stärka den
423
Certifiering av nätverks- och informationssystem |
SOU 2021:63 |
djupa tekniska kompetensen som krävs för det samlade arbetet med kravställning för
FMV är den myndighet som nu har den högsta kompetensen när det kommer till frågor som rör evaluering och certifiering av IKT- produkter,
FMV framstår mot den bakgrunden som lämplig myndighet att få i uppgift och ansvar att leda och organisera arbetet med att ta fram struktur för en nationell kravställning, dvs. en gemensamt framtagen och fastställd kravställning som grundas på en gemensam
Ett första steg i att etablera en ordning som denna bör vara ett regeringsuppdrag till FMV att i samråd med Försvarsmakten, Säker- hetspolisen, FRA och MSB, ta fram ett närmare förslag till hur en ordning som den nu föreslagna kan etableras till den 1 januari 2023.
424
SOU 2021:63 |
Certifiering av nätverks- och informationssystem |
Detta myndighetsgemensamma arbete bedrivs lämpligen inom ramen för det cybersäkerhetscentrum som nu etablerats av Försvars- makten, MSB, FRA och Säkerhetspolisen och där även flera andra myndigheter av vikt för en ordning som denna redan ingår.
I uppdraget bör också ingå att samråda och samverka med de myndigheter som har tillsynsansvar inom
425
13Krav på godkännande och utvidgat samrådsförfarande för informationssystem
Förslag: Säkerhetsskyddsförordningens bestämmelser om för- beredande åtgärder inför driftsättning av informationssystem ska överföras till säkerhetsskyddslagen.
Dessutom införs krav på verksamhetsutövaren att pröva om en driftsättning av ett informationssystem i säkerhetskänslig verk- samhet, eller en väsentlig förändring av informationssystemet, är lämplig ur säkerhetsskyddssynpunkt. Lämplighetsprövningen ska, liksom den särskilda säkerhetsskyddsbedömningen, dokumen- teras. Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt får det inte inledas. Om lämplighetsprövningen leder till bedöm- ningen att det planerade förfarandet inte är olämpligt från säker- hetsskyddssynpunkt ska verksamhetsutövaren i vissa fall samråda med samrådsmyndigheten (Säkerhetspolisen eller Försvarsmakten). Eventuella samråd med Säkerhetspolisen eller Försvarsmakten ska emellertid inte begränsas till en skriftlig process.
Även samrådsmyndigheten ska ha rätt att initiera samråd. Sam- rådsmyndigheten ska inom ramen för ett samråd kunna besluta åtgärdsföreläggande mot verksamhetsutövaren. Om ett sådant före- läggande inte följs eller om det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, ska samrådsmyndigheten få besluta att driftsättningen eller för- ändringen av informationssystemet inte får genomföras (förbud).
Befintligt krav på att verksamhetsutövaren ska godkänna drift- sättningen av ett informationssystem som ska användas i säker- hetskänslig verksamhet ska uppfyllas efter samrådet.
427
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
Bedömning: Även med beaktande av de ändringar i säkerhets- skyddslagen (2018:585) som regeringen nyligen föreslagit finns behov av att ytterligare stärka säkerheten i nätverks- och infor- mationssystem som ska användas i säkerhetskänslig verksamhet. Ett krav på att informationssystem som behandlar vissa säker- hetsklassificerade uppgifter, eller andra informationssystem där obehörig åtkomst kan medföra en skada för Sveriges säkerhet, ska godkännas av en utpekad central myndighet före driftsättning torde i sammanhanget kunna bidra till ökad säkerhet. För närvarande finns emellertid övervägande skäl att i stället först utvärdera vilka effekter de kompletterande säkerhetsskyddsbestämmelserna, i för- ening med en stärkt samrådsroll, har.
13.1Inledning och utgångspunkter
I utredningsdirektiven anges att särskilda krav på säkerhet måste kunna ställas på nätverks- och informationssystem för att skydda nationell säkerhet. Utredningen ska enligt direktiven överväga om det finns anledning att införa krav på godkännande från en utpekad myn- dighet av
Utredningen är enligt utredningsdirektiven också fri att lämna sådana författningsförslag som i övrigt behövs och är lämpliga. Vid bedömningen av om det finns behov av ett nytt krav på formellt för- handsgodkännande behöver en jämförelse göras med det befintliga systemet och de av regeringen föreslagna ändringarna i säkerhets- skyddslagen som avses träda i kraft den 1 december 2021 (se propo- sitionen Ett starkare skydd för Sverige säkerhet [prop. 2020/21:194]). I sammanhanget är effekterna av en utvidgad samrådsskyldighet och utökade tillsynsbefogenheter av särskilt intresse. En stärkt samråds- roll för Säkerhetspolisen och Försvarsmakten är ett tänkbart alter- nativ till godkännandeförfarandet som övervägs närmare.
428
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
Som berörts i det föregående är begreppsanvändningen på infor- mationssäkerhetsområdet inte helt konsekvent. Flera
13.2Allvarliga brister i informationssäkerheten
13.2.1Utredningar och kartläggningar1
Som framgår av kapitel 8 har Utredningen om vissa säkerhetsskydds- frågor (SOU 2018:82) identifierat ett antal allvarliga problem och brister i säkerhetsskyddsarbetet i Sverige. Enligt denna utredning gäller vissa av bristerna säkerhetsskyddet generellt, t.ex. att verksam- hetsutövaren inte tillämpar säkerhetsskyddsreglerna eller har bris- tande kunskap om sina skyddsvärden. Det konstateras att det finns verksamheter av stor betydelse för Sveriges säkerhet som inte alls tillämpar säkerhetsskyddslagens bestämmelser. Utöver att medveten- heten om säkerhetsskyddsregleringen är för dålig hos vissa verksam- hetsutövare kopplas problemen till att säkerhetsskyddsarbetet inte har en tillräckligt framskjuten roll inom verksamheten. Andra bris- ter handlar specifikt om olika förfaranden där utomstående involve- ras i den säkerhetskänsliga verksamheten. Bristerna handlar om att man inte alltid prövar om förfarandet är lämpligt eller att det är svårt att pröva lämpligheten, att säkerhetsskyddsavtal kan vara bristfälliga, att man inte följer upp förfarandet medan det pågår och att det sak- nas tillräckliga möjligheter för samhället att ingripa mot förfaranden
1Se kap. 8 för en utförligare redogörelse av bristerna i informationssäkerheten.
429
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
som är olämpliga från säkerhetsskyddssynpunkt.2 Denna uppfatt- ning delas av regeringen.3
Av kapitel 8 framgår vidare att det genomförts ett stort antal ut- redningar om och kartläggningar av informationssäkerheten i Sverige det senaste decenniet. Som utredningen anfört i kapitel 3 görs be- dömningen att detta underlag får anses ge en tillräckligt säker bild av förekommande brister i nationell informationssäkerhet.
Nedan redogörs för vad som i huvudsak framkommit om bris- terna i syfte att belysa om det finns ytterligare behov av åtgärder för att öka säkerheten i nätverk och informationssystem.
När det gäller informationssäkerhet inom ramen för säkerhets- skyddet har det identifierats behov av att förtydliga och utvidga säker- hetsskyddschefens roll i arbetet med att ta fram och bibehålla ett väl anpassat skydd. Behovet har bl.a. framkommit genom flera upp- märksammade händelser de senaste åren där det visat sig att centrala verksamhetsutövare haft ett eftersatt säkerhetsskydd. Ett exempel är den upphandling om förändrad
Myndigheten för samhällsskydd och beredskap (MSB) fick 296 rap- porter år 2019 om allvarliga
2Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82), s. 24 och 196.
3Prop. 2020/21:194, Ett starkare skydd för Sverige säkerhet, s. 75.
4Ds 2018:6 s. 98 och 220.
430
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
ket motsvarar 40 procent av det totala antalet rapporteringsskyldiga myndigheter. Motsvarande siffror för 2018 var 297 rapporter från 34 procent av myndigheterna. Den vanligaste typen av incident under 2019 var handhavandefel, följd av rapporterade angrepp och oönskad eller oplanerad störning i kritisk infrastruktur.
MSB har de senaste åren gjort flera kartläggningar av informa- tionssäkerhetsarbetet i länsstyrelserna och kommunerna samt små och medelstora företag (se kapitel 8). Resultaten visar att det på i princip samtliga nivåer behövs ytterligare resurser och kompetens på informationssäkerhetsområdet samt tydligare ansvarsroller. MSB drar även slutsatserna att få myndigheter följer myndighetens föreskrif- ter i sin helhet samt att arbetet med informations- och cybersäkerhet och säkerhetsskydd inte är tillräckligt integrerat. Man konstaterar vidare att företagens informationssäkerhet inte ökar i samma takt som den digitala utvecklingen i samhället. Också för kommunernas del återstår arbete i införandet av ett systematiskt och riskbaserat informationssäkerhetsarbete, inom samtliga undersökta områden. Många gånger förefaller det saknas tillräcklig kunskap om den egna organisationens behov av informationssäkerhet. Särskilt informa- tionssäkerhetsarbete relaterat till säkerhetsskydd eller samhällsviktig verksamhet uppfattas ofta som en utmaning. MSB anser att en för- bättring av informationssäkerhetsarbetet är påkallad men bedömer att såväl deltagande av offentlig förvaltning som resurstillsättning behövs.
Det finns ytterligare studier om läget för informationssäkerheten i regioner och kommuner som visar att det föreligger stora utma- ningar för huvuddelen av aktörerna i arbetet med att skapa en säker digitalisering. En av de största utmaningarna för en enskild offentlig aktör är att ha tillräckliga resurser för att informationssäkra sina it- miljöer.5
Vidare framgår av Riksrevisionens rapport Föråldrade
5Övergripande studie av offentlig
431
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
förekomsten och konsekvenserna av problemen med föråldrade it- system.
Genom
Därutöver har Säkerhetspolisen rapporterat att de myndigheter som bedriver de mest skyddsvärda verksamheterna i många fall har svårt att bedöma vad som är skyddsvärt med hänsyn till Sveriges säkerhet. Enligt Säkerhetspolisen har myndigheter också vanligtvis svårt att bedöma hotbilden mot den egna verksamheten. I stor ut- sträckning saknar även myndigheter förmågan att bedöma den egna verksamhetens sårbarheter. Som följd av dessa brister har många myndigheter svårt att vidta ändamålsenliga och kostnadseffektiva säkerhetsskyddsåtgärder. Säkerhetspolisen finner det därför ange- läget att alla myndigheter genomför säkerhetsanalyser och bedömer vilken information och verksamhet som är skyddsvärd. Dessutom framhålls att säkerhetsarbetet bör prioriteras högre.8
Sverige anses ha en hög nivå av digitalisering. Dock bedöms cyber- sårbarheten vara besvärande hög.9 Enligt OECD behöver regeringen vidta olika åtgärder för en bättre hantering av data. Bl.a. förespråkas ökade befogenheter för och användning av DIGG.10
Även flera av utredningens experter har påtalat att informations- säkerhetsarbetet i Sverige är undermåligt. Utredningen har också varit i kontakt med andra aktörer på den svenska
6Delbetänkandet Säker och kostnadseffektiv
7Utredningen skickade en enkät till 200 statliga myndigheter. 22 myndigheter svarade inte på frågorna.
8Säkerhetspolisens offentliga redovisning Säkerhetsskydd hos myndigheter med mest skyddsvärd verksamhet,
9ITU: Global Cybersecurity Index (GCI), 2018, och OECD: Digital Government Index, resul- tat för 2019.
10OECD: Digital Government Review of Sweden – Towards a
432
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
13.2.2Slutsatser om säkerhetsbrister och
Som utredningen anfört i föregående kapitel kan konstateras att det under det senaste decenniet framkommit av olika offentliga kart- läggningar och utredningar att det finns betydande brister i såväl det systematiska informationssäkerhetsarbetet som i själva
Utredningen gör mot bakgrund av vad som ovan redovisats be- dömningen att det finns ett betydande behov av att om möjligt vidta åtgärder för att stärka säkerheten i nätverk och informationssystem. Behovet framstår som skyndsamt. Som framgår av kapitel 4, 5 och 8 förekommer allvarliga angrepp mot
De konstaterade allvarliga bristerna i arbetet med informations- säkerheten ligger till grund för utredningens överväganden om den nuvarande och föreslagna ordningen bör kompletteras med ett for- mellt krav på godkännande innan driftsättning sker av
433
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
säkerhetskänslig verksamhet, vissa delar av sådan verksamhet eller endast system som hanterar information som delas in i viss säkerhets- skyddsklass.
13.3Nuvarande system
Som utredningen konstaterat i föregående avsnitt föreligger bety- dande brister brett inom flera olika samhällsområden och hos alla typer av aktörer. Fråga uppkommer då om den nuvarande regler- ingen i förening med föreslagna lagstiftningsåtgärder på säkerhets- skyddsområdet kan anses tillräckliga för att säkerställa fullgod säker- het i nätverks- och informationssystem i säkerhetskänslig verksamhet.
13.3.1Granskning och godkännande
Begrepp och nationella system
Såsom redogjorts för i kapitel 3 och 11 föreligger viss osäkerhet i fråga om innebörden av begreppen granskning, godkännande och ackreditering och deras inbördes förhållanden. Att granskning i sam- manhanget certifieringsgranskning av produkt eller tjänst inte sker innebär inte att produkten eller systemet på säkerhetsskyddsnivå inte är granskade eller godkända. Militära underrättelse- och säker- hetstjänsten (Must) som tillsynsutövare inom Försvarsmakten och som nationell kryptomyndighet har, liksom Säkerhetspolisen, nyckel- roller i detta.
Kryptomekanismer som föreskrivs i säkerhetsskyddsförordningen granskas av Must som också utfärdar nationella godkännanden. Så- dana granskningar och godkännanden finns också avseende produkter utanför det omedelbara kryptoområdet. Must är också tillsynsmyn- dighet inom Försvarsmakten och granskar system, dvs. sammansatta system av ibland hundratals produkter, liksom ”system av system”.11 Verksamhetschefen godkänner efter att systemet befunnits uppfylla aktuella krav. Säkerhetspolisen har en liknande roll gentemot andra myndigheter och privat sektor. Det är verksamhetsutövaren som har uppgiften att godkänna driftsättningen av informationssystem i säker-
11Försvarsmakten har tillsynsansvar för säkerhetsskyddet inom försvarssektorn, dvs. de myn- digheter som ligger under Försvarsdepartementet samt Försvarshögskolan och Fortifikations- verket. Dessa myndigheter är i vissa fall skyldiga att samråda med Försvarsmakten.
434
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
hetskänslig verksamhet (se nedan) efter Säkerhetspolisens eller För- svarsmaktens granskning och utlåtande om uppfyllandet av säkerhets- och författningskrav. Nu nämnda granskningar och godkännanden ska inte förväxlas med motsvarande termer avseende certifierings- verksamheten.
Av utredningens internationella jämförelse (se kapitel 9 och av- snitt 13.5) framgår att ackreditering respektive godkännande av skydds- värda informationssystem ofta hänger ihop och mer eller mindre används synonymt (jfr t.ex. Australiens system med Nya Zeelands krav). I detta sammanhang inbegriper ackreditering (”accreditation”) och godkännande eller tillåtelse (”authorisation”) att en behörig per- son dels formellt accepterar återstående säkerhetsrisker med drift av informationssystemet, dels godkänner/tillåter dess driftsättning. När fråga är om det för nationen mest skyddsvärda brukar uppgiften att ackreditera/godkänna ligga hos ett departement eller en myndighet. Vidare kan noteras att kraven på godkännande i säkerhetskänslig verksamhet vanligtvis gäller informationssystemen och den informa- tion som systemen behandlar. Kravet på formellt godkännande syftar här till att bidra till ökad säkerhet i informationssystem. Det före- kommer också att vissa it- och informationssäkerhetsprodukter, inte minst kryptoutrustning, omfattas av godkännandeförfarandena.
Ett godkännande kan även innebära att en process tillåts fort- skrida, utan att närmare ställningstagande till eller dokumentation av befintliga brister görs. Detta förfarande framstår emellertid, enligt föreliggande system, inte som dominerande på området. Om inte annat anges avses fortsättningsvis med godkännande ett behörigen fattat beslut att acceptera kvarvarande säkerhetsrisker med driftsät- tning av ett informationssystem.
Vid utredningen har framkommit att kraven på godkännande pri- märt tar sikte på tre parametrar: antingen nationell säkerhet, säker- hetsklassificerad information på viss nivå, eller assuransnivå (hög). Värt att framhålla är emellertid att assuransnivån hög inte automa- tiskt innebär att berörd produkt, tjänst eller process även ska vara säkerhetsskyddsklassificerad, om än dessa i praktiken inte sällan torde vara skyddsvärda.12 Krav på godkännande i förhållande till assurans- nivå och produkttyp förefaller vara vanligast förekommande i fråga
12Vidare hänger själva assuransnivån snarare ihop med evaluerings- och certifieringsprocesser än godkännandeförfaranden. Assurans avser tilltro till en produkt och har inget att göra med om produkten är säkerhetsskyddsklassificerad – vanligen är den inte det.
435
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
om s.k.
Gränsöverskridande krypto- och säkerhetssamarbete
Godkännande av kryptoprodukter och vissa närliggande produkter sker inte enbart mot nationella krav och föreskrifter utan också inom ramen för ett internationellt kryptosamarbete (se kapitel 9). Detta kryptosamarbete utgör en gemensam bottenplatta för tekniska krav och processer som medverkar till att göra såväl produkter som pro- cesser föremål för ömsesidiga granskningar, värderingar och god- kännanden. Detta medför interoperabilitet mellan nationer och orga- nisationer och skapar också en internationell marknad för denna typ av produkter. Inte minst genom det europeiska kryptosamarbetet som genom gemensamma krav och möjligheter till ömsesidiga god- kännanden skapas en inre marknad för krypto- och andra säkerhets- produkter.13 I sammanhanget bidrar
Rådets beslut om säkerhetsbestämmelser för skydd av säkerhetsskydds- klassificerade
Överföring av klassificerad
13Det bör observeras att ordningen och processen för kryptogodkännande kan brytas upp, vilket i sin tur har inverkan på de internationella krypto- och säkerhetssamarbetena, inbegripet möjligheterna till ömsesidiga godkännanden.
14Den s.k.
436
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
vändning av produkter som omfattas av specifikt
det av begränsat hemlig information.
13.3.2Allmänna krav på informationssäkerhet i statliga myndigheters verksamhet
Som framgår av kapitel 3 och 12 har Myndigheten för samhällsskydd och beredskap (MSB) uppdaterat sina föreskrifter om informations- säkerhet för statliga myndigheter.16 Föreskrifterna ställer krav på att myndigheterna ska bedriva ett systematiskt och riskbaserat informa- tionssäkerhetsarbete. MSB har även utfärdat nya föreskrifter om säkerhetsåtgärder i informationssystem
MSB:s reviderade föreskrifter om informationssäkerhet för stat- liga myndigheter (MSBFS 2020:6) anger att myndigheterna ska be- driva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av vissa internationellt erkända standarderna (ISO/IEC
15Även om säkerhetskraven i nu nämnda beslut utformats för Rådet och den egna organisa- tionen har angivna krav inkorporerats även i multilaterala säkerhetsskyddsavtal som en form av säkerhetsstandard vid utbyte av säkerhetsskyddsklassificerade uppgifter. Hänvisningen i dessa avtal till Rådets beslut i fråga om gällande säkerhetskrav innebär således bl.a. att god- kända kryptoprodukter/gemensamhetsprodukter ska användas.
16MSBFS 2020:6, Myndigheten för samhällsskydd och beredskaps föreskrifter om informations- säkerhet för statliga myndigheter.
17MSBFS 2020:7, Myndigheten för samhällsskydd och beredskaps föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter.
18Det bör noteras att MSB i föreskrifterna enbart använder begreppet informationssystem.
19Ändringarna innebär att det nu ställs tydligare krav på myndighetsledningens uppgift att inrikta, säkerställa resurser och följa upp informationssäkerhetsarbetet. Det har även tillkom- mit nya krav på säkerhetsåtgärder rörande lokaler och personal.
437
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
tion ska behandlas utifrån informationsklassning och riskbedöm- ning, finns inte några uttryckliga krav på godkännande av nätverk och informationssystemen. De omfattar inte heller andra aktörer än statliga myndigheter.
MSB:s föreskrifter om
–genom säkerhetstester och granskning kontrollera att valda säker- hetsåtgärder är tillräckliga för att möta identifierade krav på säker- het, och
–verifiera att det finns nödvändig dokumentation för drift och förvaltning.
I de fall brister identifieras ska myndigheten riskbedöma och hantera dessa brister innan driftsättning eller inför förändring som kan på- verka säkerheten i informationssystemen. Myndigheterna ska vidare ha interna regler för dels kryptering med krav på godkännande av krypteringslösningar (4 kap. 9 § 2 p.), dels ärendehantering med krav på vilka kriterier som ska användas för att godkänna hård- och mjuk- vara innan installation eller användning (4 kap. 12 § 1 p.). MSB be- dömer att majoriteten av de säkerhetsåtgärder som nämns i före- skrifterna om
Till följd av
20Det kan tilläggas att Utredningen om civilt försvar (SOU 2021:25) föreslagit en ny bered- skapsförordning men att dess bestämmelse om informationssäkerhet (14 §) motsvarar den nu gällande (19 §): ”Varje myndighet ansvarar för att egna informationshanteringssystem upp- fyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt”.
438
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
med stöd av ISO
Det kan i detta sammanhang noteras att
Som redogjorts för i föregående kapitel har sektorsmyndigheterna till följd av bl.a.
Sammanfattningsvis kan konstateras att varken i MSB:s generella förskrifter för statliga myndigheter eller föreskrifter utfärdade av MSB och sektorsmyndigheter på
21Även leverantörer av digitala tjänster ska vidta säkerhetsåtgärder för att hantera risker och säkerställa kontinuiteten.
439
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
13.3.3Krav på informationssäkerhet i säkerhetsskyddsregleringen22
Inledning
Att ansvaret för identifiering och bedömning av behovet av säker- hetsskydd är knutet till verksamhetsutövaren har ansetts vara grund- läggande för säkerhetsskyddslagstiftningen.23
Som framgår av kapitel 6 och 7 uppställer säkerhetsskyddsregler- ingen särskilda krav för informationssystem som används i eller har betydelse för säkerhetskänslig verksamhet. Verksamhetsutövare ska dels vidta förberedande åtgärder inför driftsättning av sådana infor- mationssystem, dels tillgodose de säkerhetskrav som kontinuerligt ställs på informationssystemen.24 Vidare finns det krav på samråd med Säkerhetspolisen eller Försvarsmakten i vissa fall.
Säkerhetsskyddsavtal och samråd vid vissa anskaffningar
Verksamhetsutövare har enligt säkerhetsskyddslagen en skyldighet att ingå säkerhetsskyddsavtal inför vissa upphandlingar och andra anskaffningar, om den leverantör som anlitas kan få tillgång till verk- samhetsutövarens säkerhetskänsliga verksamhet. Säkerhetsskyddsav- talet ska klargöra för leverantören vilka säkerhetsskyddsåtgärder som denne ska vidta under samarbetets gång för att säkerhetsskyddet ska kunna tillgodoses.
Skyldigheten att ingå säkerhetsskyddsavtal kompletteras för stat- liga myndigheter med ett krav på att göra en särskild säkerhets- skyddsbedömning och samråda med tillsynsmyndigheten inför vissa särskilt känsliga upphandlingar.
Tillsynsmyndigheten får under samrådet förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskydds- lagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas,
22Hittills gällande säkerhetsskyddsreglering har redogjorts för mer ingående i kapitel 6 och 7.
23Bedömningen av om en verksamhetsutövare omfattas av säkerhetsskyddslagen är beroende av att denne gjort en korrekt analys av verksamhetens skyddsvärden.
24Verksamhetsutövaren är skyldig att se till att informationssystemet upprätthåller kraven på informationssäkerhet.
440
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
får tillsynsmyndigheten besluta att myndigheten inte får genomföra upphandlingen.
Inför driftsättning av skyddsvärda informationssystem
En verksamhetsutövare som avser att driftsätta ett informations- system som har betydelse för säkerhetskänslig verksamhet är ansvarig för att säkerhetsskyddet kring ett sådant informationssystem utfor- mas så att författningarna avseende säkerhetsskydd efterlevs.25 Innan ett sådant informationssystem tas i drift ska verksamhetsutövaren enligt Säkerhetspolisens föreskrifter om säkerhetsskydd (4 kap. 7 § PMFS 2019:2) genomföra tester av sina säkerhetsskyddsåtgärder.26
Innan ett informationssystem som kan förutses komma att be- handla säkerhetsskyddsklassificerade uppgifter i säkerhetsskydds- klassen konfidentiell eller högre tas i drift, eller i väsentliga avseenden förändras, ska verksamhetsutövaren skriftligen samråda med Säker- hetspolisen (3 kap. 2 § säkerhetsskyddsförordningen [2018:658]). Om verksamhetsutövaren hör till Försvarsmaktens tillsynsområde enligt 7 kap. 1 § första stycket 1 säkerhetsskyddsförordningen, ska denne i stället samråda med Försvarsmakten. Samrådsskyldigheten gäller även i fråga om andra informationssystem, om obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig.27
Vidare följer av 3 kap. 3 § säkerhetsskyddsförordningen att ett informationssystem som ska användas i säkerhetskänslig verksamhet
25Detta gäller såväl vid utveckling som anskaffning av ett system.
26Verksamhetsutövaren ska vidare årligen granska säkerheten i informationssystem som är avsett för att behandla uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig eller i informationssystem där en incident kan medföra allvarlig eller synnerligen allvarlig skada för Sveriges säkerhet (4 kap. 11 § Säkerhetspolisens föreskrifter om säkerhetsskydd [PMFS 2019:2]). Försvarsmaktens förskrifter (FFS 2019:2, 9 kap. 2 §) anger att berörd verksamhetsutövare (dvs. en myndighet som hör till Försvarsdepartementet) ska kontrollera att en leverantör följer säkerhetsskyddsavtalet samt att kontrollen ska genomföras varje år om säkerhetsskyddsavtalet avser kvalificerat hemliga uppgifter eller säkerhetskänslig verksamhet som är av synnerlig be- tydelse för Sverige säkerhet.
27Vid ett sådant samråd lämnar Säkerhetspolisen ett yttrande kring de säkerhetsskyddsåtgär- der verksamhetsutövaren vidtagit, eller har för avsikt att vidta, samt hur dessa förhåller sig till bestämmelserna om säkerhetsskydd i författningarna. För att Säkerhetspolisen ska kunna lämna ett kvalitativt yttrande förutsätts att verksamhetsutövaren genomfört tester och ver- ifierat att de säkerhetsskyddsåtgärder (säkerhetskrav) som identifierats i den särskilda säker- hetsskyddsbedömningen har implementerats och att de ger avsedd effekt, säkerställt att samt- liga identifierade sårbarheter och säkerhetsbrister i informationssystemet som kan medföra negativ påverkan för den säkerhetskänsliga verksamheten har omhändertagits. samt säkerställt att eventuella undantag och kompenserande åtgärder som vidtagits i förhållande till säkerhets- kraven i den särskilda säkerhetsskyddsbedömningen är dokumenterade.
441
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
inte får tas i drift förrän det har godkänts ur säkerhetsskyddssyn- punkt av verksamhetsutövaren.
Överlåtelse av säkerhetskänslig verksamhet
En verksamhetsutövare som avser att överlåta säkerhetskänslig verk- samhet är skyldig att göra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning samt samråda med en samrådsmyndighet. Sam- rådsmyndigheten har möjlighet att förelägga verksamhetsutövare att vidta åtgärder för att uppfylla sina skyldigheter enligt lagen och ytterst besluta att en överlåtelse inte får genomföras (förbud).
Övrig reglering
Försvarsmakten och Säkerhetspolisen utfärdar föreskrifter kring hur system som hanterar Sveriges säkerhet konstrueras och vägledningar som styr andra myndigheter och privata aktörer inom säkerhets- skyddet. Försvarsmakten har tagit fram både föreskrifter och detal- jerade interna kravställningsdokument (s.k. KSF:er)28 för att under- lätta att rätt säkerhet uppnås i
13.3.4Cybersäkerhetscertifiering i enlighet med EU:s cybersäkerhetsakt
På cybersäkerhetsområdet har även den nationella myndigheten för cybersäkerhetscertifiering, FMV, sedan den 28 juni 2021 långtgående tillsynsbefogenheter och sanktionsmöjligheter (se EU:s cybersäker- hetsakt och lagen (2021:553) med kompletterande bestämmelser till EU:s cybersäkerhetsakt). Systemet avser cybersäkerhetscertifiering av IKT och syftar till att generellt höja nivån på cybersäkerhet, men inbegriper inget sådant godkännandeförfarande som utredningsdirek- tiven beskriver.
28KSF står för ”Krav på säkerhetsförmågor”.
442
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
13.3.5Slutsatser om samrådsförfarandet och skyldigheter i säkerhetskänslig verksamhet
Som framgår av det ovan anförda ska verksamhetsutövaren vidta ett antal åtgärder innan informationssystem får användas i säkerhets- känslig verksamhet. När informationssystem kan komma att be- handla uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i fråga om andra informationssystem där obehörig åtkomst kan medföra en inte obetydlig skada för Sveriges säkerhet, ska verksam- hetsutövaren vidare samråda med Säkerhetspolisen eller Försvars- makten innan driftsättning eller vid väsentliga förändringar av syste- met. Innebörden av ett sådant samråd är dock inte helt klar. Det är inte heller klart vilka verktyg som står till buds om en verksamhets- utövare beslutar att driftsätta ett informationssystem trots ett nega- tivt samrådsyttrande från Säkerhetspolisen eller Försvarsmakten.29
Ivilket fall som helst innehåller säkerhetsskyddsregleringen inga ut- tryckliga krav på att tillsynsmyndigheten, eller någon annan utpekad myndighet, ska godkänna driftsättningen av informationssystem i säkerhetskänslig verksamhet.30 Det finns visserligen redan förfaran- den där vissa
Enligt utredningen är det samrådsförfarande som följer av säker- hetsskyddsregleringen – till skillnad från ett förfarande med formellt godkännande – inte ett uttryck för tillåtelse (se utförligare resone- mang nedan). Ansvaret för informationssystems säkerhetsskydd och samråd ligger vidare ytterst hos verksamhetsutövaren och inte hos någon tillsyns- eller samordningsmyndighet. Det innebär dock inte att tillsynsmyndigheten inte ska eller kan överpröva verksamhetsut- övarens bedömningar. Utredningen noterar också att det i dag endast finns begränsade befogenheter att ingripa mot den som inte sköter sitt säkerhetsskydd. Tillsynen på säkerhetsskyddsområdet är i huvud- sak av rådgivande och stödjande karaktär. Möjligheten för tillsyns- eller samordningsmyndigheten att förbjuda ett förfarande gäller endast vid vissa upphandlingar av statliga myndigheter och överlåtelser av
29Sannolikt hindrar inte ett negativt samrådsyttrande en driftsättning.
30Vid kommunikation av säkerhetsskyddsklassificerade uppgifter till ett informationssystem utanför verksamhetsutövarens kontroll ska däremot uppgifterna skyddas med hjälp av krypto- grafiska funktioner som godkänts av Försvarsmakten.
443
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
säkerhetskänslig verksamhet.31 Tillsynsmyndigheterna har inga sär- skilda undersökningsbefogenheter och kan inte besluta sanktioner. Avsaknaden av sedvanliga tillsynsbefogenheter och möjligheter att ingripa gör att det finns en risk att verksamhetsutövare är mindre benägna att följa tillsynsmyndigheternas anvisningar och säkerhets- skyddslagstiftningens krav. Som regeringen konstaterat i propositio- nen Ett starkare skydd för Sverige säkerhet (se prop. 2020/21:194, s. 21 f.) finns därför behov av att ytterligare skärpa säkerhetsskyddslagstift- ningen.
Den nuvarande ordningen innebär brister och medför att det finns en uppenbar risk för att aktörer inom informationssäkerhetsområdet kan agera skadligt för Sveriges säkerhet. Sammantaget kan regleringen inte anses tillräcklig för att nå fullgod informationssäkerhet i nät- verks- och informationssystem som ska användas i säkerhetskänslig verksamhet.
Utredningen noterar att regeringen i nyss nämnda proposition föreslagit att tillsynsmyndigheten ska få sedvanliga tillsynsbefogen- heter och kunna besluta sanktionsavgift, i syfte att möta behovet av skärpningar för att skydda Sveriges säkerhet. Delar av regeringens lagförslag behandlas nedan.
13.4Pågående åtgärder för ökad informationssäkerhet
För att stärka skyddet för Sveriges säkerhet har regeringen föreslagit vissa ändringar i säkerhetsskyddslagen (prop. 2020/21:194) som är avsedda att träda i kraft den 1 december 2021. Fråga uppkommer om dessa är tillräckliga för att omhänderta problemen med informations- säkerhet. Enligt utredningen kan lagskärpningarna i sig tjäna som belysning för de fortsatta övervägandena i fråga om behovet av ytter- ligare krav på godkännande.
31Fr.o.m. den 1 december 2021 kommer tillsynsmyndigheten i stort även ha motsvarande be- fogenheter i samband med vissa förfaranden som kräver säkerhetsskyddsavtal (se nedan).
444
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
13.4.1Anmälningsplikt
Idag finns på säkerhetsskyddsområdet ingen skyldighet för en verk- samhetsutövare att anmäla sin verksamhet. Som tidigare berörts har regeringen dock föreslagit att den som till någon del bedriver säker- hetskänslig verksamhet ska anmäla detta till en tillsynsmyndighet.
13.4.2Utvidgad samrådsskyldighet och befogenheter vid överlåtelse och utkontraktering av säkerhetskänslig verksamhet
Regeringen har nu föreslagit en utvidgad skyldighet för verksam- hetsutövaren att i vissa fall samråda med tillsynsmyndigheten32. En- ligt lagförslaget ska en verksamhetsutövare som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett sam- arbete med en annan aktör, först ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till säkerhets- känslig verksamhet av viss betydelse för Sveriges säkerhet. Innan ett sådant förfarande ska verksamhetsutövaren även göra en särskild säker- hetsskyddsbedömning och lämplighetsprövning. Om lämplighets- prövningen leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska verksamhetsutöva- ren samråda med tillsynsmyndigheten innan den inleder förfarandet, om det planerade förfarandet innebär att den andra aktören kan få tillgång till
–säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller
–annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Motsvarande krav föreslås gälla inför överlåtelse av säkerhetskänslig verksamhet. De föreslagna ändringarna i säkerhetsskyddslagen inne- bär vidare att tillsynsmyndigheten inom ramen för ett samråd får före- lägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskydds-
32Tillsynsmyndigheten är en sektorsmyndighet som ska kontrollera att verksamhetsutövaren följer lagen. Tillsyn i detta syfte ska även få utövas hos de aktörer som verksamhetsutövare ingått säkerhetsskyddsavtal med. Liksom tidigare ska tillsynen bedrivas sektorsvis. Försvars- makten och Säkerhetspolisen har emellertid en särställning inom tillsynen och samordningen avseende säkerhetsskyddet (jfr kapitel 6 och 8).
445
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
lagen och föreskrifter som meddelats i anslutning till den lagen. Sam- rådsansvaret fördelas mellan tillsynsmyndigheterna utifrån deras re- spektive ansvarsområde. Om verksamhetsutövaren inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det, ska tillsynsmyndigheten få inleda samrådet. Om ett beslut om före- läggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, ska tillsynsmyndigheten få besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet (förbud). Utöver att tillsynsmyndigheten ska få förbjuda ett olämp- ligt förfarande kan den även ingripa i ett pågående förfarande (se nedan).
I sammanhanget bör framhållas att regeringen i sitt fortsatta för- ordningsarbete utreder om det i säkerhetsskyddsförordningen ska införas en skyldighet för tillsynsmyndigheterna att i vissa fall ge Säkerhetspolisen respektive Försvarsmakten tillfälle att yttra sig under ett samråd, eller i övrigt innan samrådet avslutas, så att deras unika kunskaper om bl.a. hotbilder vid behov kan tillföras ärendet.33
Tillsynsmyndighetens åtgärdsföreläggande inom ramen för ett sam- råd kan exempelvis gälla vad en verksamhetsutövare behöver förbättra
ifråga om säkerhetsskyddsåtgärderna som anges i 2 kap.
33Prop. 2020/21:194 s. 59.
34Prop. 2020/21:194, s. 61.
446
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
13.4.3Närmare om tillsynsbefogenheter och ingripande möjligheter
Genom den föreslagna säkerhetsskyddslagstiftningen ges tillsyns- myndigheterna även vissa undersökningsbefogenheter och möjlig- heter att besluta vitesföreläggande och sanktionsavgift mot den som inte följer säkerhetsskyddslagstiftningens krav.
Den som står under tillsyn ska på begäran ge tillsynsmyndigheten den information som behövs för tillsynen. Tillsynsmyndigheten har rätt att i den omfattning det behövs för tillsynen få tillträde till om- råden, lokaler och andra utrymmen, dock inte bostäder, som an- vänds i verksamhet som omfattas av tillsyn.35 Tillsynsmyndigheten får vidare förelägga den som står under tillsyn att tillhandahålla in- formation och att ge tillträde till lokaler och liknande, vid äventyr av vite. Tillsynsmyndigheten får även begära handräckning av Kronofogde- myndigheten för att genomföra tillsynsåtgärder.
Regleringen av sanktionsavgift föreslås bygga på strikt ansvar. Det kommer emellertid inte vara obligatoriskt att ta ut sanktions- avgift för överträdelser, utan det ligger hos tillsynsmyndigheten att bedöma om en överträdelse ska leda till sanktionsavgift i det enskilda fallet. En sanktionsavgift ska enligt regeringen bestämmas till lägst 25 000 kronor och högst 50 miljoner kronor. För en statlig myndig- het, kommun eller region är det högsta sanktionsbeloppet dock 10 miljoner kronor. Vissa överträdelser av säkerhetsskyddslagstift- ningen är dessutom straffsanktionerade.36
35Utredningen noterar att undersökningsbefogenheterna inte innefattar en uttrycklig rätt till tillgång till tillsynsobjekts informationssystem. Denna fråga behandlas i kapitel 14.
36Den som röjer säkerhetsskyddsklassificerade uppgifter för någon obehörig på ett sätt som kan medföra men för Sveriges säkerhet kan, under vissa förutsättningar, ha gjort sig skyldig till obehörig befattning med hemlig uppgift, grov obehörig befattning med hemlig uppgift eller vårdslöshet med hemlig uppgift enligt 19 kap. 7, 8 eller 9 § brottsbalken (BrB). Vidtas gärningen för att gå främmande makt tillhanda kan det i stället vara fråga om spioneri eller grovt spioneri enligt 19 kap. 5 eller 6 § BrB. Åsidosättanden av åligganden enligt säkerhetsskyddslagen kan även utgöra tjänstefel enligt 20 kap. 1 § BrB, om det sker vid myndighetsutövning, t.ex. i sam- band med en säkerhetsprövning av personal. Dessutom kan någon som olovligen röjer en hemlig (säkerhetsskyddsklassificerad) uppgift i vissa fall göra sig skyldig till brott mot tyst- nadsplikt enligt 20 kap. 3 § BrB. Detta gäller även om uppgiften hanterats av en enskild verk- samhetsutövare (5 kap. 2 § första stycket säkerhetsskyddslagen).
447
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
13.4.4Slutsatser om föreslagna ändringar i säkerhetsskyddslagen
Utredningen kan konstatera att den föreslagna lagstiftningen på säkerhetsskyddsområdet innebär införandet av en anmälningsplikt och utvidgad samrådsskyldighet för verksamhetsutövaren samt ut- ökade befogenheter och ingripandemöjligheter för tillsynsmyndig- heter. Samrådet som aktualiseras i ett förhållandevis tidigt skede möj- liggör för berörda att lämna synpunkter på verksamhetsutövarens planerade förfarande (som innebär eventuell hantering av säkerhets- skyddsklassificerade uppgifter). Åtgärdsförelägganden, i vissa fall vid äventyr av vite, och sanktionsavgifter torde i detta sammanhang kunna vara effektiva verktyg för att få aktörer i säkerhetskänslig verksamhet att följa uppställda säkerhetskrav, vilket i förlängningen kan bidra till ökad informationssäkerhet.
Den föreslagna samrådsskyldigheten – med tillsynsmyndighetens befogenheter att inleda samråd och vid samrådet besluta åtgärd- sföreläggande och förbjuda ett ur säkerhetsskyddssynpunkt olämp- ligt förfarande – uppvisar visserligen vissa likheter med ett godkän- nandeförfarande, men utgör inte ett formellt krav på tillstånd. Vidare gäller dessa skyldigheter och befogenheter endast när en annan aktör än verksamhetsutövaren kan få tillgång till säkerhetskänslig verk- samhet (och säkerhetsskyddsavtal eventuellt ska ingås) genom upp- handling, samverkan, samarbete eller överlåtelse. Dessa förfaranden skiljer sig således från driftsättning av informationssystem som är en operativ åtgärd av verksamhetsutövaren utan att säkerhetskänslig verk- samhet behöver exponeras för utomstående.
Frågan är då om den av regeringen föreslagna regleringen ändå med- för effekter för säkerheten i nätverks- och informationssystem som är ändamålsenliga och likvärdiga med ett krav på förhandsgodkän- nande från en utpekad myndighet. I det följande behandlar utred- ningen argument för och emot införandet av ett kompletterande for- mellt godkännandeförfarande.
448
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
13.4.5Åtgärder enligt den samlade informations- och cybersäkerhetshandlingsplanen
Utredningen noterar att FMV, FRA, Försvarsmakten, MSB, Polisen, PTS och Säkerhetspolisen enligt den samlade informations- och cybersäkerhetshandlingsplanen37 vidtar ett antal åtgärder inom sina respektive ansvarsområden för att stärka informations- och cyber- säkerheten i det svenska samhället. Dock avser de pågående och plane- rade åtgärderna inte ytterligare krav på godkännande och/eller certi- fiering av IKT i säkerhetskänslig verksamhet. Den åtgärd som ligger närmast de frågor som utredningen arbetar med avser övervägandet av en nationell modell för cybersäkerhet där arbetet ska drivas av det natio- nella cybersäkerhetscentret. Den nationella handlingsplanen har även målsättningen att öka tillgången till säkra kryptosystem för it- och kommunikationslösningar, bl.a. genom att FMV med stöd av FRA, Försvarsmakten och MSB utarbetar en åtgärdsplan för säkra krypto- grafiska funktioner i samhället. Åtgärder har emellertid ännu inte vidtagits i denna del.
13.5Krav i andra länder
Utredningen har i kapitel 9 gjort en kartläggning av ett tiotal ut- ländska system på området, med fokus på särskilda krav på IKT i säker- hetskänslig verksamhet. Nästintill alla länder har någon form av god- kännandeförfarande. Vanligt förekommande är en modell där en utpekad nationell myndighet, eller ett departement, har det yttersta ansvaret att inom sin jurisdiktion godkänna informationssystem som hanterar uppgifter som rör nationell säkerhet samt hemlig och/eller kvalificerat hemlig information.38 Motsvarande krav på godkännande gäller i flera av de undersökta länderna också för vissa informations- säkerhetsprodukter i säkerhetskänslig verksamhet, inte minst krypto- utrustning. Samrådsförfarande i linje med den svenska modellen före- kommer däremot inte i nämnvärd utsträckning i utlandet.
Med tanke på de likheter som finns mellan Sverige och de övriga länderna i Norden är det naturligt att i första hand göra en jämförelse
37MSB, FRA, FMV, Försvarsmakten, PTS, Polisen, Säkerhetspolisen: Samlad informations- och cybersäkerhetshandlingsplan
38I övriga fall brukar uppgiften att godkänna
449
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
med dessa. I Norge ska s.k. skyddsvärda informationssystem god- kännas av en nationell säkerhetsmyndighet (NSM), och även infor- mationssystem som ska behandla kvalificerat hemlig eller hemlig in- formation måste godkännas av NSM innan de tas i bruk.39 I Finland har det nationella cybersäkerhetscentret vid Transport- och kommu- nikationsverket (Traficom) behörigheten att godkänna informa- tionssystem i säkerhetskänslig verksamhet. Statsrådet har rätt att föreskriva att en myndighet är skyldig att skaffa ett intyg om godkän- nande från Traficom i fråga om informationssystem som behandlar handlingar som hör till de två högsta säkerhetsklasserna (av fyra) där störst skada för nationell säkerhet riskeras. Denna föreskriftsrätt har emellertid inte utnyttjats, varför godkännande för informationssystem för närvarande inte är obligatoriskt i Finland. I Danmark uppställs krav på informationssäkerhet inom statliga myndigheter som inne- fattar ackreditering av informationssystem som används för klassi- ficerad information. Sådana system kan vara föremål för certifiering och/eller godkännande.
Om myndigheter i exempelvis Nya Zeeland har informations- system som behandlar information som rör nationell säkerhet måste systemet enligt nationell reglering ackrediteras av en central myn- dighet för kommunikationssäkerhet (GCSB) innan ett resulterande formellt godkännande av systemets driftsättning kan ske. Detta gäller oavsett informationens klassificeringsnivå. Ackreditering av gene- raldirektören på GCSB (eller formell delegat) krävs vidare för an- vändning av
I Australien måste just kvalificerat hemliga (”top secret”) system och system som bearbetar, lagrar eller kommunicerar kvalificerat hemlig eller känslig kompartmentaliserad information godkännas av en underrättelsetjänst (ASD) innan systemet får tas i drift.
Av den internationella jämförelsen kan slutsatsen dras att författ- ningar och förvaltningssystem på säkerhetsskyddsområdet inte sällan påtagligt skiljer sig åt mellan olika länder. Av inhämtad tillgänglig information framgår emellertid inte närmare hur den faktiska tillämp- ligheten ser ut i respektive land och i vilken utsträckning det i prakti- ken förekommer undantag eller speciallösningar (jfr avsnitt 9.9).
39Även kryptosystem som ska användas för att skydda säkerhetsklassificerad information måste godkännas av den nationella säkerhetsmyndigheten.
450
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
13.6Behov av samordnat samråd och nationellt godkännande för säkerhetskänslig verksamhet
Säkerhetspolisen expert har under utredningen tagit upp frågan om behov av ett nationellt godkännande för säkerhetskänslig verksam- het där ett informationssystem används av flera verksamhetsutövare. I samband med det har – efter samverkan med Försvarsmakten – följande synpunkter lämnats.
Säkerhetspolisen ser att det finns ett behov av att lämna ett samordnat samråd och godkännande inför driftsättning av informationssystem. Detta har kommit till uttryck genom att flera verksamhetsutövare in- kommit med förfrågan till Säkerhetspolisen om samråd om driftsättning av informationssystem som är lika i sin natur, t.ex. fristående dator för hemlig information. Det finns också ett behov av gemensamma nät- verkskopplade informationssystem där flera verksamhetsutövare tillsam- mans kan utbyta information. För sådana informationssystem skulle ett nationellt godkännande enligt Säkerhetspolisen innebära att säkerhets- skyddet på ett mer enhetligt sätt omhändertas.40
I dagsläget har Säkerhetspolisen kännedom om i vart fall en verksam- hetsutövare som har samordnat samrådsprocessen inför driftsättning av ett informationssystem som ska användas av andra verksamhetsutövare. Förhållandet har genomgått en samrådsprocess och har inte resulterat i ett negativt yttrande från Säkerhetspolisen. Ett sådant godkännande kan dock innebära svårigheter vid tillsyn då det kan vara svårt att avgöra vil- ken verksamhetsutövare som ska bära ansvaret för en brist i säkerhets- skyddet i ett sådant informationssystem.
Att informationssystem godkänns för användning för alla eller flera verksamhetsutövare skulle dock i sig kunna vara positivt och i förläng- ningen möjliggöra för dessa att få tillgång till säkra informationssystem.
Frågan blir då vem som ska godkänna driftsättningen i ett sådant fall. Att en verksamhetsutövare själv godkänner ett informationssystem inne- bär vissa problem om hur ansvaret ska fördelas mellan de olika verksam- heterna. Ett nationellt godkännande bör därför i dessa fall lämnas av en central myndighet och kompletteras med att vissa säkerhetsskydds- frågor ska hanteras med ett lokalt godkännande hos respektive verksam- hetsutövare. Exempel på sådana frågor som bör hanteras i ett lokalt god- kännande kan vara säkerställande av att utrustningen har ett tillräckligt fysiskt skydd och att endast behörig personal har tillgång till systemet.
En möjlig lösning är att informationssystem som är avsedda att stödja flera eller alla säkerhetskänsliga verksamheter ska nationellt godkännas av Säkerhetspolisen. Även övriga tillsynsmyndigheter bör kunna natio- nellt godkänna informationssystem inom egen sektor efter samråd med
40Med godkännande avses här primärt ett beslut av utpekad myndighet genom vilket kvar- varande säkerhetsrisker med verksamhetsutövares driftsättning av ett informationssystem accepteras.
451
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
Säkerhetspolisen. En sådan reglering bör avgränsas till informations- system som avser att hantera säkerhetsskyddsklassificerade uppgifter.
En reglering med nationellt godkännande bör kompletteras med att en eller flera myndigheter får i uppdrag att till andra myndigheter till- handahålla informationssystem för behandling av säkerhetsskyddsklas- sificerade uppgifter.
Sammanfattningsvis kan det konstateras att det finns ett behov av att kunna godkänna driftsättning av informationssystem för flera eller alla verksamhetsutövare samtidigt. En sådan lösning har både för- och nack- delar och skulle behöva hantera de andra frågor som nämnts ovan för att på ett ändamålsenligt sätt passa in i den säkerhetsskyddsrättsliga regler- ingen. Frågan om ett sådant nationellt godkännande behöver därför ut- redas närmare.
13.7Kompletteringarna till säkerhetsskyddslagen kontra godkännandeförfarande
Nästa fråga som utredningen har att ta ställning till är om de före- slagna ändringarna i säkerhetsskyddslagen är tillräckliga för att jäm- ställa med ett krav på formellt godkännande från en utpekad myn- dighet.
Enligt förslaget till ändring av säkerhetsskyddslagen ska verksam- hetsutövare som avser att anskaffa, utkontraktera eller överlåta säker- hetskänslig verksamhet i vissa fall samråda med sin tillsynmyndighet. Om förfarandet är olämpligt ur säkerhetsskyddssynpunkt kan till- synsmyndigheten besluta att det inte får genomföras och även in- gripa i ett pågående förfarande. Om tillsynsmyndigheten inom ramen för ett samråd inte förbjuder ett förfarande som verksamhetsutövaren planerar kan det möjligen uppfattas som ett informellt tyst godkän- nande.41 Därmed kan verksamhetsutövare inleda vissa förfaranden som innebär hantering av hemliga uppgifter. Den föreslagna förbuds- möjligheten avser emellertid inte själva driftsättningen av informations- system. Även om tillsynsmyndigheten också ges en generell befogenhet att besluta åtgärdsförelägganden vid tillsyn saknas i nu nämnda del motsvarande förebyggande åtgärder. Inte heller står det klart huru- vida ett negativt samrådsyttrande från berörd myndighet hindrar verk-
41Huruvida den föreslagna säkerhetsskyddsordningen kommer att innebära ett de facto- god- kännande är i dag oklart då myndigheterna har olika synpunkter om detta.
452
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
samhetsutövares beslut att driftsätta informationssystem.42 En skillnad mellan processerna är att samrådet inte resulterar i en tydlig stämpel på att förfarandet är lämpligt utan bara inbegriper att det inte bedömts olämpligt. Inte desto mindre torde den föreslagna ordningen – inbe- gripet anmälningsplikten och möjligheten att vid samråd besluta åt- gärdsföreläggande och förbud – i likhet med angivna krav på formellt förhandsgodkännande bidra till ökad informationssäkerhet i informa- tionssystemen. Kraven bör medföra dels ökad identifiering av ansvar för säkerhetsskydd,43 dels minskad risk för förfaranden som är olämp- liga från säkerhetsskyddssynpunkt. Det tillkommer incitament för nog- grannare kontroll av säkerheten i verksamheterna. Den föreslagna regleringen säkerställer emellertid inte en utomstående myndighets ställningstagande i varje tillämpligt fall. Å andra sidan förutsätter även ett effektivt förfarande för myndighetsgodkännande att verk- samhetsutövaren anmäler sitt informationssystem för godkännande.
Ett krav på godkännande från en myndighet innan driftsättning innebär enligt Säkerhetspolisens expert att den godkännande myn- digheten till viss del övertar ansvaret från verksamhetsutövaren och förändrar den för svensk säkerhetsskyddslagstiftning grundläggande principen att det är verksamhetsutövaren som ansvarar för att säker- hetsskyddet i den egna verksamheten är tillräcklig. En sådan regler- ing innebär både för- och nackdelar.
Utredningen anser inte att ett förhandsgodkännande från en myn- dighet fråntar verksamhetsutövarens ansvar för säkerheten i sina informationssystem. Godkännandet av en driftsättning innebär visser- ligen att riskerna och säkerhetsnivån vid tidpunkten för godkän- nandemyndighetens granskning av verksamhetsutövarens dokumen- tation accepteras, men det är fortfarande verksamhetsutövaren som ansvarar för att se till att informationssystemet upprätthåller kraven på informationssäkerhet. Utöver skyldigheterna att anmäla sin säker- hetskänsliga verksamhet och se till att berörda system är godkända skulle verksamhetsutövaren ha att fortlöpande kontrollera säkerhe- ten och åtgärda eventuella brister i systemen.44 Dock kan det uppstå svårigheter att närmare bedöma innehållet i det formella godkännan-
42Ett sådant agerande skulle förmodligen innebära att verksamhetsutövaren blir föremål för tillsyn, men eftersom driftsättningen av informationssystemet redan skett har då även den even- tuella skadan för Sveriges säkerhet inträffat. Tillsynen syftar till att kontrollera att regelverket följs och är inte en förebyggande åtgärd.
43Den föreslagna anmälningsplikten bör också underlätta tillsynsverksamheten.
44Andra aspekter är tillräckligt fysiskt skydd och att endast behörig personal får tillgång till systemet.
453
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
det och vid efterföljande tillsyn av verksamheten förhålla sig till god- kännandemyndighetens tidigare godkännande. T.ex. kan en tillsyns- myndighets benägenhet att utdöma sanktioner för observerade säker- hetsbrister i ett informationssystem påverkas om myndigheten tidigare godkänt driftsättning av systemet och det inte genomgått någon väsentlig förändring. En annan fråga som uppstår är om ett godkän- nande kan överföras till annan myndighet.
För- och nackdelar med ett myndighetsgodkännande av informationssystem
Det kan noteras att
En fördel med ett godkännandeförfarande med en central myn- dighet som godkännandeorgan är att det bidrar till skapandet av en minimistandard för kontroll av säkerhet och mer enhetliga säker- hetskrav hos verksamhetsutövarna på de aktuella nivåerna. Särskilt för system som behandlar hemliga eller kvalificerat hemliga upp- gifter, dvs. det mest skyddsvärda för Sverige, finns anledning att ställa långtgående krav på säkerheten. Här gör sig nämligen de största ris-
45Ett dataintrång behöver emellertid inte nödvändigtvis innebära att alla uppgifter i systemet röjs. En annan fråga är om uppgifterna ändå betraktas som röjda. Normalt sett bör man be- trakta alla uppgifter som röjda om det inte går att visa att de inte kan ha röjts för obehöriga med anledning av intrånget. I vissa undantagsfall kan dock konstateras att intrånget är av- gränsat till vissa delar och då behöver inte uppgifter som finns i andra delar av systemet be- traktas som röjda. Således bör information i ett system där dataintrång kunnat påvisas betrak- tas som röjd tills tekniska undersökningar kunnat fastställa omfattning av intrånget.
46Säkerhetsskyddet syftar inte till att motverka påverkan på uppgifternas riktighet och till- gänglighet genom försumlighet eller olyckshändelse.
454
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
kerna gällande, vilket – även om inte behovet av teknisk kompetens nödvändigtvis ökar – kan motivera en oberoende tredjepartsbedöm- ning av en central nationell myndighet.
Åena sidan är det en rimlig utgångspunkt att verksamhetsutöva- ren själv ansvarar för verksamhetens skyddsvärden. Å andra sidan måste fördelarna med ett absolut ansvar för informationssäkerheten
iinformationsbehandlingen ställas mot vikten av kvalitetssäkring av att säkerhetskraven är uppfyllda för att förhindra allvarlig skada för Sveriges säkerhet. Till risken att informationssystemen annars blir angripna hör att informationssäkerhetsarbetet i stor utsträckning är eftersatt och utmaningarna på området är betydande.47
Ett argument för att ansvaret att godkänna informationssyste- mets driftsättning bör kvarstå på verksamhetsutövaren är att denne torde ha bäst inblick i den egna verksamhetens förutsättningar och prioriteringar, särskilt när det gäller att acceptera kvarvarande säker- hetsrisker. En utomstående, även med god kompetens och omfat- tande erfarenhet av informationssäkerhet och
Det kan tilläggas att s.k. godkännandemyndigheter i utlandet ofta har omfattande ansvar, kompetens respektive tillsynsbefogenheter på informationssäkerhetsområdet. Detta kan jämföras med Försvars- maktens roll på säkerhetsskyddsområdet (särskilt i fråga om krypto). Trots de nyligen föreslagna bestämmelserna om säkerhetsskydd finns utrymme för en aktör att i vissa fall driftsätta ett informationssystem
isäkerhetskänslig verksamhet utan att tillsynsmyndigheten gjort en mer ingående granskning av riskerna.48 I t.ex. Norge utgör godkän- nandemyndighetens process för godkännande av informationssystem som behandlar säkerhetsklassificerad information en planerad och systematisk granskning av systemet – i form av en dokumentations- genomgång – för att fastställa om det uppnås en lämplig säkerhetsnivå. Genomgången tar också fasta på om och hur negativa
47Med undantag för Säkerhetspolisens och Försvarsmaktens områden råder i sektorerna all- varliga brister när det gäller systemsäkerhet och kompetens, såväl vid offentliga som privata aktörer.
48Försvarsmakten gör dock i tillämpliga fall en ingående granskning innan driftsättning, så länge berörd myndighet hemställer om samråd.
455
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
operativa miljö, dess behov av skydd och om föreslagna säkerhets- åtgärder är tillräckliga för att uppnå en lämplig skyddsnivå.
Den föreslagna möjligheten för tillsynsmyndigheterna på säker- hetsskyddsområdet att besluta en förhållandevis hög sanktionsavgift för överträdelser, som komplement till vitesföreläggande, kan i sig vara en tydlig och effektiv ekonomisk sanktion för den som har ett otillräckligt skydd för säkerhetsskyddsklassificerade uppgifter. Åt- gärden riktar sig vanligen mot en konstaterad överträdelse och är i huvudsak en tillbakaverkande sanktion som är handlingsdirigerande genom att verka avskräckande. När säkerhetsskyddsklassificerade upp- gifter väl röjts uppstår dock oåterkallelig risk för skada för Sveriges säkerhet, oavsett eventuellt efterföljande repressalier. I stället för att vara avhängig huruvida incitamenten i det enskilda fallet kan förutses tillräckligt motverka risktagande, t.ex. för stora och resursstarka aktörer, kan ett krav på formellt förhandsgodkännande förhindra att säkerhetskänsliga uppgifter över huvud taget hanteras före det att behörig myndighet finner säkerhetsriskläget acceptabelt. Ett god- kännandeförfarande kan också minska risken för att Sveriges säker- het skadas av misstag. Åtgärderna har olika skyddsändamål då kravet på godkännande syftar till att säkerställa att alla säkerhetskrav är upp- fyllda i förväg (innan informationssystemet används), medan sank- tionssystemet i sig primärt har en repressiv verkan. Sanktioner är alltså en för sen åtgärd då skadliga uppgifter redan kan vara röjda.
Utredningen noterar vidare att Sverige inte har något sådant god- kännandeförfarande som förekommer i merparten av jämförbara län- der. Den svenska samrådsmodellen framstår i sammanhanget som säregen. Regleringen som innebär att verksamhetsutövaren ska testa sina säkerhetsskyddsåtgärder och godkänna sitt informationssystem innan det får tas i drift i säkerhetskänslig verksamhet motsvarar när- mast vad som brukar gälla i utlandet för information som inte är hemlig eller kvalificerat hemlig.
Sammanfattande bedömning av behovet av myndighetsgodkännande
Sammantaget kan det enligt utredningen inte antas att effekterna av den nya säkerhetsskyddsregleringen blir att likställa med ett krav på formellt förhandsgodkännande från en utpekad myndighet. Även om det kommande systemet är tämligen omfattande är det enligt ut-
456
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
redningens mening inte tillräckligt heltäckande. Mot bakgrund av de allvarliga följder som nationell säkerhet riskerar bedömer utred- ningen att det finns starka skäl att överväga införandet av ett sådant godkännandeförfarande som finns i flertalet andra jämförbara län- der.49 Ett motsvarande krav kan fylla funktionen som en ytterligare välbehövlig kontrollstation och därmed bidra till stärkt informa- tionssäkerhet i säkerhetskänslig verksamhet.50 Som anförts ovan medför emellertid ett sådant krav även ett antal svårigheter. Ändå finner utredningen att det finns behov av att införa ytterligare krav när det gäller driftsättning av informationssystem i säkerhetskänslig verksamhet. I linje med regleringen i flertalet jämförbara länder hade ett krav på myndighetgodkännande lämpligen kunnat avse informa- tionssystem som ska hantera hemlig och/eller kvalificerat hemlig in- formation.51
Ett alternativ till att nu införa ett nytt krav är att avvakta tills effek- terna av de kompletterande bestämmelserna till säkerhetsskyddslagen utvärderats.52 Utredningen anser dock inte att det finns tillräcklig an- ledning att vänta med att införa ytterligare krav på informationssystem i säkerhetskänslig verksamhet för att se effekten av de nya åtgärderna. Det är snarare angeläget att i samband med övriga skärpningar av till- synssystemet också införa krav på myndighetsgodkännande av sär- skilt skyddsvärda informationssystem, eller ett likvärdigt förfarande, som ytterligare en säkerhetsskyddsåtgärd.
Säkerhetspolisen har, efter samverkan med Försvarsmakten, argu- menterat för att varken samråd, ett negativt samrådsyttrande eller tillsyn formellt förhindrar driftsättning av informationssystem i säker- hetskänslig verksamhet. Mot denna bakgrund har myndigheterna föreslagit att samrådsrollen inför driftsättning och vid väsentlig för- ändring av informationssystem stärks genom att Säkerhetspolisen och Försvarsmakten ges möjlighet att förelägga verksamhetsutövare att vidta säkerhetsskyddsåtgärder och, om föreläggandet inte följs, besluta om att det ifrågavarande systemet inte får tas i drift eller för-
49Med tanke på de likheter som finns mellan Sverige och de övriga länderna i Norden är det naturligt att dessa system kan tjäna som vägledning i frågan om krav på godkännande.
50Ställningstagande i fråga om kvalificerat hemlig information kräver även särskilt god för- måga att göra en hotbildsanalys.
51Dock bör observeras att inte särskilt många aktörer hanterar sådana system. Antalet system som behandlar kvalificerat hemliga uppgifter är begränsat och återfinns främst hos Försvars- makten, FRA och Säkerhetspolisen.
52Även etablerandet av cybersäkerhetscentret och dess planerade arbete är relevant i samman- hanget.
457
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
ändras i väsentliga avseenden. En sådan lösning innebär inte någon ändring av ansvarsförhållandena och kan enligt utredningens mening vara ett lämpligt alternativ till ett krav på förhandsgodkännande från en myndighet. Fråga uppkommer således om de föreslagna verktygen i praktiken skulle omhänderta eventuella risker vid behandling av säkerhetsskyddsklassificerade uppgifter på ett likvärdigt och fullgott sätt, trots att det inte rör sig om ett formellt myndighetsgodkän- nande. Denna lösning utvärderas i avsnitt 13.8.
När det gäller frågan om behov av ett samordnat samråd och nation- ellt godkännande inför driftsättning av ett informationssystem, som används av flera verksamhetsutövare i säkerhetskänslig verksamhet, delar utredningen Säkerhetspolisens uppfattning (se avsnitt 13.6). På de av Säkerhetspolisen anförda skälen behöver frågan om ett sådant nationellt godkännande för säkerhetskänslig verksamhet utredas när- mare i särskild ordning och behandlas därför inte vidare i detta be- tänkande.
13.8Ytterligare stärkt samrådsroll
Enligt Säkerhetspolisen och Försvarsmakten bör uppgiften att god- känna driftsättning av informationssystem ligga kvar hos verksam- hetsutövaren. Även om verksamhetsutövaren i vissa säkerhetskäns- liga fall även ska samråda med Säkerhetspolisen eller Försvarsmakten bedömer dessa myndigheter att man för närvarande inte har möj- lighet att vidta åtgärder inför eller förbjuda en driftsättning eller väsentlig förändring av informationssystem i säkerhetskänslig verk- samhet. Däremot kan dessa myndigheter inleda tillsyn.
Tillsyn är emellertid en reaktiv åtgärd. Ett dataintrång kan ske redan under själva driftsättningen varför tillsyn inte är en ändamålse- nlig åtgärd för att skydda mot röjandet av säkerhetsskyddsklassi- ficerade uppgifter och därmed skada på Sveriges säkerhet. För att undvika dessa följder vid driftsättning eller väsentlig förändring av informationssystem behövs således möjlighet att vidta åtgärder innan en driftsättning sker. En samrådsskyldighet och möjlighet att både förelägga verksamhetsutövaren att vidta säkerhetsskyddsåtgärder och förbjuda en driftsättning eller förändring av ett informationssystem är i sammanhanget tänkbara förebyggande åtgärder.
458
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
Säkerhetspolisen och Försvarsmakten har bedömt att det inte finns skäl att flytta ansvaret för säkerhetsskyddet från verksamhets- utövare på det sätt som ett godkännande av en myndighet innan driftsättning skulle innebära. I stället har Säkerhetspolisen och För- svarsmakten föreslagit att deras samrådsroll inför driftsättning och vid väsentlig förändring av informationssystem stärks på samma sätt som nu sker när det gäller utkontraktering och överlåtelse av säker- hetskänslig verksamhet. Härigenom ges myndigheterna möjlighet att besluta åtgärdsföreläggande inom ramen för samrådet och, om föreläggandet inte följs, förbjuda det planerade förfarandet. Utred- ningen kan konstatera att de av regeringen föreslagna kompletter- ingarna till säkerhetsskyddslagen inte ger tillsyns- eller samrådsmyn- digheterna rätt att besluta att en driftsättning eller väsentlig föränd- ring av ett informationssystem inte får genomföras (förbud). En sådan stärkt samrådsroll har betydande likheter med ett krav på förhands- godkännande från en myndighet.
Nedan följer en beskrivning av hur en driftsättning eller väsentlig förändring av ett informationssystem i säkerhetskänslig verksamhet bör gå till enligt Säkerhetspolisen – från det att behovet uppstår till driftsättning.
1.Behov av nytt informationssystem, digitalisering, (verksamhets- utövaren).
2.Lämplighetsprövning (verksamhetsutövaren, se nedan).
3.Särskild säkerhetsskyddsbedömning (verksamhetsutövaren) (krav- ställning + lämplighetsprövning).
4.Beslut om utveckling om så bedömts lämpligt (verksamhetsut- övaren).
5.Begäran om samråd – inkluderat särskild säkerhetsskyddsbedöm- ning (verksamhetsutövaren).
6.Utveckling (verksamhetsutövaren).
7.Test av säkerhetsskyddsåtgärder (verksamhetsutövaren).
8.Uppdatering av särskild säkerhetsskyddsbedömning skickas till Säkerhetspolisen (verksamhetsutövaren).
9.Samrådsyttrande inklusive förelägganden (Säkerhetspolisen)
10.Hantera förelägganden (verksamhetsutövaren).
459
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
11.Meddela Säkerhetspolisen planerat driftsättningsdatum (eventu- ellt behöver minsta tid från meddelande till driftsättning regleras) (verksamhetsutövaren).
12.Eventuellt förbud (Säkerhetspolisen).
13.Godkännande ur säkerhetsskyddssynpunkt (verksamhetsutövaren).
14.Driftsättning (verksamhetsutövaren).
Det kan tilläggas att driftsättning av informationssystem i säkerhets- känslig verksamhet endast föranleder samråd med Säkerhetspolisen eller Försvarsmakten (beroende på vilket tillsynsområde verksamhets- utövaren tillhör). Endast Säkerhetspolisen och Försvarsmakten har den samlade bilden av hoten mot Sveriges säkerhet och Sveriges samlade skyddsvärden. Med hänsyn till dessa myndigheters unika sakkunskap och utpräglade roll på området finns inte skäl att ändra ordningen för vem verksamhetsutövaren ska samråda med vid drift- sättning eller förändring av informationssystem.53 Att ytterligare öka Säkerhetspolisens och Försvarsmaktens befogenheter att inrikta säkerhetsarbetet, överpröva analyser respektive beslut, begära kom- pletterande säkerhetsåtgärder och förbjuda olämpliga driftsättningar eller förändringar av informationssystem är att anse som ett rimligt alternativ till det övervägda kravet på förhandsgodkännande. En sådan lösning innebär inte heller någon ändring av ansvaret för säkerhets- skyddet i informationssystemet. Ett förfarande för godkännande av driftsättning hanterar inte heller helheten då framtida förändringar inte omhändertas.54 Det bör vidare framhållas att det finns betydande organisatoriska skillnader mellan å ena sidan Sverige, å andra sidan merparten av jämförbara länder där man har en central nationell cyber- säkerhetmyndighet (t.ex. Danmark, Finland och Norge)55 med långt- gående befogenheter och samlad kompetens inom informations- och cybersäkerhet, medan ansvaret för nationell informationssäkerhet i
53För att samrådet ska vara verkningsfullt och motverka potentiellt skadlig exponering av upp- gifter eller verksamhet i övrigt, bör det, liksom tidigare, påbörjas innan verksamhetsutövaren inleder det förfarande som medför krav på samråd.
54Som tidigare berörts kan baskrav för system bygga på befintliga internationella standarder och certifieringsordningar. Sedan behöver den specifika applikationen och dess fysiska miljö säkerställas. Den myndighet som hanterar kommande tillsyn behöver också på ett tydligt sätt ge återkoppling till verksamhetsutövaren på insänd anmälan att föreslagen specifik applikations driftsättning kan accepteras. Detta skall inte ses som ett generellt godkännande utan som en accept för driftsättning för just denna situation. Denna specifika applikation kommer därefter att vid behov vara föremål för tillsyn.
55Nasjonal sikkerhetsmyndighet i Norge har cirka 300 anställda.
460
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
Sverige är påtagligt splittrat och placerat på ett flertal olika myndig- heter, däribland
En möjlig form för hur verksamhetsutövarens beslut om god- kännande av driftsättning kan ske med en ökad roll för samrådsmyn- digheten är att beslutet föregås av en lämplighetsprövning och sam- råd med Säkerhetspolisen eller Försvarsmakten. Omfattningen av ett sådant samråd behöver dock öka om en sådan stödjande process ska träffa de organisationer som är i behov av stöd. Därför bör ett förslag om sådan process kring samråd inför driftsättning eller väsentlig förändring av informationssystem utsträckas till att omfatta även system för hantering av uppgifter i säkerhetsskyddsklassen konfi- dentiell och högre. Utformningen av kraven bör i övrigt i möjligaste mån följa systematiken i det av regeringen föreslagna kapitlet om skyldigheter när en annan aktör kan få tillgång till säkerhetskänslig verksamhet (kapitel 4 i säkerhetsskyddslagen). Säkerhetsskyddsförord- ningens bestämmelser om förberedande åtgärder inför driftsättning av informationssystem (3 kap.
56I Sverige medför Säkerhetspolisens och Försvarsmaktens unika kunskaper och utpräglade roller på säkerhetsskyddsområdet att dessa myndigheter framstår som naturligt val i fråga om godkännandemyndighet, men uppgiften att godkänna hade ändå inneburit ytterligare och mer djupgående insatthet i många verksamheter.
461
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
Närmare om väsentlig förändring av informationssystem
En väsentlig förändring av ett informationssystem kan, i likhet med driftsättning i säkerhetskänslig verksamhet, innebära att systemet börjar hantera säkerhetsskyddsklassificerade uppgifter. En väsentlig förändring av ett informationssystem kan exempelvis vara att
–ett befintligt informationssystem ska hantera uppgifter med en högre säkerhetsskyddsklassificering än tidigare,
–ett befintligt informationssystem ska integreras eller kommu- nicera med andra informationssystem, eller när exponering av annat skäl väsentligen ökar, eller
–ett befintligt informationssystem ska användas i en annan säker- hetskänslig verksamhet (om inte en sådan hantering omfattas av det ursprungliga samrådet).
Man kan också uttrycka det som att verksamhetsutövaren driftsätter en förändring av informationssystemet. Utredningen ser följaktligen inte bärande skäl för att kravmässigt göra en distinktion mellan dessa förfaranden.
Det kan noteras att den särskilda säkerhetsskyddsbedömning som ska göras vid driftsättning och väsentlig förändring av informa- tionssystem är mer långtgående än säkerhetsskyddsbedömningarna vid förfarandena som kräver säkerhetsskyddsavtal. Skillnaden är emellertid befogad med hänsyn till det särskilt känsliga läge en driftsättning innebär (se ovan).
Närmare om samråd och befogenheter
För att Säkerhetspolisen och Försvarsmakten ska få likvärdiga för- utsättningar som tillsynsmyndigheterna, för det fall de inte utövar tillsyn, bör också samrådsmyndigheten på motsvarande sätt kunna initiera samråd vid verksamhetsutövarens underlåtelse. Som tidigare berörts är det också motiverat med befogenheter att inom ramen för samrådet besluta åtgärdsföreläggande och vid behov besluta om för- bud. Samrådet med samrådsmyndigheten bör, i likhet med samråd med tillsynsmyndigheterna, inte vara begränsat till en skriftlig pro- cess. Även muntliga samråd med tillsynsmyndigheterna är avsedda att dokumenteras. Det följer redan av förvaltningslagen (2017:900)
462
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
att en myndighet som får uppgifter på något annat sätt än genom en handling snarast ska dokumentera dem, om de kan ha betydelse för ett beslut i ärendet (21 §). Vidare underlättar upphävandet av form- kravet för berörd myndighet att göra en lämplig anpassning av sam- rådet utifrån föreliggande omständigheter och behov av skyndsamhet. Samrådsmyndigheten bör på samma sätt som gäller för tillsynsmyn- digheterna, inom ramen för samrådet få besluta att förelägga verk- samhetsutövaren att vidta åtgärder för att fullgöra sina skyldigheter enligt säkerhetsskyddslagen och föreskrifter som har meddelats i an- slutning till den lagen. Åtgärdsföreläggandet fyller, även inför drift- sättning eller förändring av informationssystem, funktionen att be- skriva vad som behöver göras för att det planerade förfarandet ska vara godtagbart från säkerhetsskyddssynpunkt.57 Befogenheten möj- liggör för samrådsmyndigheten att förelägga verksamhetsutövaren att vidta säkerhetsskyddsåtgärder för att avhjälpa brister i ett infor- mationssystem som kan komma att behandla säkerhetsklassificerade uppgifter. Frågan är kopplad till vilka krav på säkerhetsskyddsåtgär- der som Säkerhetspolisen har föreskrivit. Det skulle t.ex. kunna vara föreläggande om att vidta konkreta säkerhetsskyddsåtgärder såsom flerfaktorsautentisering58 eller att åtgärda brister i separationen av informationssystem. Samrådsmyndigheten kan vidare t.ex. förelägga verksamhetsutövaren att göra en dimensionerad hotbildsbedömning (jfr avsnitt 6.4.2) om sådan underlåtits. Ytterligare ett exempel är att det finns krav på att verksamhetsutövaren ska genomföra egna granskningar av informationssystem och samrådsmyndigheten anser att genomförda granskningar inte är tillräckliga, då skulle myndig- heten kunna förelägga verksamhetsutövaren att genomföra komplet- terande granskningar. Förutsatt att Säkerhetspolisen eller Försvars- makten föreskrivit ett krav på användande av certifierad
57Behovet av att säkerhetsbrister åtgärdas kan öka när det rör sig om driftsättning av ett in- formationssystem av påtaglig betydelse för samhällsviktig verksamhet och nationell säkerhet. Förvaltningslagen innehåller allmänna krav på skyndsam handläggning. Å andra sidan kan en verksamhetsutövares planering av en driftsättning i vissa fall ta ett par år.
58Flerfaktorsautentisering är en metod för åtkomstkontroll där användare endast beviljas åt- komst efter att framgångsrikt ha presenterat flera separata bevis för en autentiseringsmeka- nism. En lyckad identitetskontroll förutsätter vanligtvis två eller flera former av information (t.ex. lösenord, smartkort och biometrisk autentisering) inom kategorierna kunskap, innehav och inneboende.
463
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
den behöver enligt utredningen inte kunna förenas med vite. Ett skäl till detta är att följden av att inte följa ett föreläggande är att det planerade förfarandet inte får genomföras, och att något ytterligare incitament för verksamhetsutövaren att följa föreläggandet inte lär behövas. Därutöver bör överträdelser av samrådsskyldigheten eller agerande i strid mot meddelat förbud kunna föranleda sanktionsavgift (se nedan).
Ett förbud bör även kunna aktualiseras när den planerade drift- sättningen eller förändringen av ett informationssystem bedöms olämpligt även om ytterligare åtgärder vidtas. Möjligheten att besluta sådana förbud är av stor vikt för att förhindra att förfaranden som kan skada Sveriges säkerhet genomförs. Befogenheten bör tillkomma respektive samrådsmyndighet, bl.a. eftersom samrådsmyndigheten genom samrådet redan är insatt i ärendet och ett sådant förfarande är i linje med vad som gäller för tillsyn vid anskaffning och över- låtelse av säkerhetskänslig verksamhet.59 Det bör framhållas att ett beslut om att förbjuda ett visst förfarande är en mycket långtgående åtgärd och bör användas restriktivt. Samrådsmyndigheten måste också i varje enskilt fall göra en proportionalitetsbedömning.60
Ett krav på lämplighetsprövning bör införas
Säkerhetspolisen anser att verksamhetsutövaren även inför driftsätt- ning och väsentlig förändring av informationssystem bör göra en lämplighetsprövning i enlighet med vad som gäller vid anskaffning, utkontraktering och överlåtelse av säkerhetskänslig verksamhet. Verk- samhetsutövaren ska således pröva lämpligheten av införandet av ett informationssystem baserat på dess möjliga påverkan på Sveriges säkerhet. Prövningen avser att hantera situationer där introduce- randet av ett informationssystem kommer innebära stora risker för Sveriges säkerhet och som inte kan hanteras genom att vidta säker- hetsskyddsåtgärder. Det kan exempelvis röra som om funktioner som:
59Överklagande av dessa förbudsbeslut ska dock ske till förvaltningsdomstol och inte reger- ingen (se kapitel 15).
60I fall Säkerhetspolisen och Försvarsmakten har tillsynsansvar ska de enligt regeringens pro- position 2020/21:194 även ha möjlighet att ingripa i vissa pågående förfaranden genom före- läggande.
464
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
–kraftigt påverkar samhällets motståndskraft, t.ex. att flera redun- danta samhällsviktiga funktioner ersätts av ett informationssystem, och/eller
–sammanställningar av olika datamängder som inte ska vara möj- liga att sammanställa (s.k.
Det rör sig alltså om funktioner som oavsett hur väl dessa skyddas innebär ett stort risktagande för Sveriges säkerhet. Lämplighetspröv- ningen syftar således primärt till att verksamhetsutövaren i ett tidigt skede ska vara tvungen att ta ställning till om digitaliseringen är lämplig med tanke på dess effekt på Sveriges säkerhet. Lämplighets- prövningens största effekt är dock att i ett tidigt skede få upp frågor gällande Sveriges säkerhet och att tvinga verksamhetsutövaren att ta ställning. Det innebär också, i de fall som digitaliseringen bedöms olämplig, att onödigt utvecklingsarbete inte behöver genomföras.61
Som framgår ovan bör enligt Säkerhetspolisen lämplighetspröv- ningen göras före den särskilda säkerhetsskyddsbedömningen, direkt efter att verksamhetsutövaren har konstaterat att det finns ett behov av ett nytt informationssystem eller en väsentlig förändring. Reger- ingen har emellertid föreslagit att säkerhetsskyddsbedömningen ska göras först, när det gäller anskaffning och överlåtelse av säkerhets- känslig verksamhet. Ett skäl till den omvända ordning som Säkerhets- polisen förespråkar är att inga skyddsåtgärder kan minska framtida säkerhetsrisker när en driftsättning i säkerhetskänslig verksamhet väl sker, och att den särskilda säkerhetsskyddsbedömningen syftar till att identifiera just åtgärder för ökad säkerhet i systemet. Denna prövning syftar till att i ett tidigt skede tydliggöra för verksamhets- utövaren, i ett bredare perspektiv, huruvida planerad digitalisering är lämplig och erforderliga krav över huvud taget kan mötas (se ovan).
Åandra sidan torde sådana slutsatser till följd av en lämplighets- prövning i sig förutsätta en bedömning av risker och hot, vilket en säkerhetsskyddsbedömning inbegriper.
Utredningen finner mot bakgrund av det ovan anförda att verk- samhetsutövaren, i likhet med vad som gäller när en annan aktör kan få tillgång till säkerhetskänslig verksamhet, även ska vidta en lämp- lighetsprövning inför driftsättning eller väsentlig förändring av in- formationssystem i säkerhetskänslig verksamhet och att prövningen
61Säkerhetspolisen och Försvarsmakten torde kunna meddela närmare vägledning om för- farandet i sina föreskrifter.
465
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
ska dokumenteras. Tillräckliga skäl att avvika från den ordningsföljd som föreslås gälla vid anskaffning och överlåtelse av säkerhetskänslig verksamhet – genom att föreskriva att lämplighetsprövningen ska ske före den särskilda säkerhetsskyddsbedömningen – föreligger inte. Då lämplighetsprövningen fyller en annan funktion än verksamhets- utövarens godkännande av driftsättning, som innebär ett beslut att kvarstående risker med användning av informationssystemet accep- teras, ska befintligt krav på godkännande kvarstå. Godkännandet sker lämpligen efter fullbordat samråd.
Närmare om överlappningar, undantag och samverkan
Fråga uppkommer om skyldigheten att pröva det planerade förfaran- dets lämplighet även kan överlappa med motsvarande krav vid anskaff- ning, utkontraktering och överlåtelse av säkerhetskänslig verksamhet. Om ett sådant förfarande omfattas av reglerna om överlåtelse av säkerhetskänslig verksamhet kan sättas ifråga om förfarandet även behöver omfattas av den nu föreslagna skyldigheten att göra en lämp- lighetsprövning. Samma sak gäller förslaget om krav på samråd. Sam- råd vid utkontraktering respektive driftsättning prövar emellertid olika saker. Ett samråd vid utkontraktering ska göras före upphandlingen där leverantören vidtar åtgärder som medför att denne får tillgång till säkerhetskänslig verksamhet. Efter samrådet för utkontraktering sker själva upphandlingen. Om driftsättning av ett informationssystem omfattas av det som upphandlas bör själva driftsättningen också blir föremål för samråd. I det samrådet ska då prövas om tillräckliga skydds- åtgärder i systemet är vidtagna. I detta avseende kan samråden således inte anses vara överlappande.62
När det gäller frågan om att undvika överlappande regleringar anser Säkerhetspolisen att det i nuläget inte är påkallat med en rätt att besluta om undantag från de föreslagna skyldigheterna i säker- hetsskyddslagen avseende samråd m.m. Ett sådant behov av undan- tag kan möjligen minska av den av regeringen övervägda63 skyldig- heten för tillsynsmyndigheten att i vissa fall ge samrådsmyndigheten
62I t.ex. fall då verksamhetsutövaren köper in ett färdigt informationssystem, som inte heller ska driftsättas av leverantören, kommer leverantören aldrig att få tillgång till de säkerhets- skyddsklassificerade uppgifterna.
63Regeringen utreder för närvarande frågan om yttrande vid samråd i sitt fortsatta arbete med säkerhetsskyddsförordningen.
466
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
tillfälle att yttra sig vid ett samråd. Utredningen finner således inte anledning att i denna del lämna förslag på föreskriftsrätt i fråga om undantag.
Vidare torde samrådsmyndigheterna, när dessa inte utövar tillsyn, i behövliga fall informeras av tillsynsmyndigheten om verksamhets- utövare planerar driftsättning av informationssystem och därmed få kännedom om denne vidtar erforderliga åtgärder. Denna samverkan kan lösas praktiskt.
Sanktionsavgift som ett komplement
En avsaknad av ingripandebefogenheter gör att det finns en risk att verksamhetsutövare är mindre benägna att efterleva säkerhetsskydds- lagstiftningens krav, särskilt eftersom säkerhetsskyddsåtgärder kan vara kostsamma. Det har också framkommit att det finns fall där påpekade brister inte rättats till (se bl.a. SOU 2015:25 s.
För ett effektivt samrådsförfarande som bidrar till ett bättre säker- hetsskydd är det av stor vikt att den verksamhetsutövare som är skyl-
467
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
dig att samråda lämnar korrekta uppgifter till samrådsmyndigheten i samband med samrådet. I syfte att motverka att oriktiga uppgifter lämnas vid samråd bör det vara möjligt att besluta om sanktions- avgift mot verksamhetsutövare när så ändå har skett.64
Försvarsmakten har väckt frågan om inte även en underlåtelse av verksamhetsutövaren att godkänna driftsättningen av ett informa- tionssystem i säkerhetskänslig verksamhet bör kunna föranleda sank- tionsavgift från samrådsmyndigheten. Utredningen lämnar förslag om samrådsmyndighetens möjlighet att ta ut sanktionsavgift, och bedömer att utgångspunkten bör vara att godkännandet sker efter det att samrådet avslutats. En risk med en sådan befogenhet som Försvarsmakten föreslår är således att samrådsrollen blir alltför ut- sträckt. Överträdelser som enligt utredningens förslag ska kunna rendera en sanktionsavgift är om samrådsskyldigheten åsidosatts, för- bud inte respekteras eller oriktiga uppgifter lämnats vid samråd. Verk- samhetsutövaren får inte – utan att först samråda – driftsätta eller väsentligen ändra informationssystem som kan förutses komma att behandla konfidentiella uppgifter och högre, eller andra system där åtkomst kan medföra inte obetydlig skada för Sveriges säkerhet. Om denna skyldighet överträds ska alltså sanktionsavgift kunna utdömas av samrådsmyndigheten. En annan fråga är om tillsynsmyndigheterna bör ha befogenheten att ta ut sanktionsavgift vid bristande godkän- nande och vilken skada som annars riskeras för Sveriges säkerhet. Mot bakgrund av de förslag som regeringen respektive utredningen lämnar om anmälningsplikt, lämplighetsprövning, nya kraftfulla verk- tyg för samråds- och tillsynsmyndigheterna (bl.a. åtgärdsföreläggande och förbud) och sanktionssystemet i övrigt finns, enligt utredningens mening, för närvarande inte tillräckliga skäl att även sanktionsbe- lägga godkännandkravet. Om det med tillkommande erfarenheter visar sig finnas behov av sanktioner även i denna del får den frågan be- handlas närmare i kommande lagstiftningsärende.
64I vilken mån oriktiga uppgifter lämnats uppsåtligen eller i vilken utsträckning det varit oakt- samt ska beaktas vid bedömningen av om sanktionsavgift ska tas ut (se den av regeringen i proposition 2020/21:194 föreslagna 6 kap. 3 § i säkerhetsskyddslagen).
468
SOU 2021:63 |
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
13.8.1Certifiering som komplement
Säkerhetspolisen och Försvarsmakten får anses ha möjlighet att inom befintligt mandat föreskriva bl.a. om krav på användning av certifie- rad IKT, när så bedöms lämpligt, som en säkerhetsskyddsåtgärd som ger möjlighet att öka säkerheten i informationssystemet. Dessutom kommer den föreslagna befogenheten att besluta åtgärdsföreläg- gande att inrymma sådana krav på certifiering som en säkerhets- skyddsåtgärd. Även om det från experthåll lämnats synpunkter på att det är oklart i vilken utsträckning en sådan åtgärd har ändamåls- enliga effekter för säkerheten i systemet bedömer utredningen att en användning av certifierade
Krav på ökad användning av
Sammanfattande slutsatser
Mot bakgrund av det ovan anförda, och med beaktande av de änd- ringar i säkerhetsskyddslagen som regeringen föreslagit, anser utred- ningen att nu nämnda åtgärder bör utvärderas innan kompletterande krav på myndighetsgodkännande, eller införande av en nationellt särskilt anpassad ordning för certifiering av IKT i säkerhetskänslig verksamhet, övervägs.
469
Krav på godkännande och utvidgat samrådsförfarande för informationssystem |
SOU 2021:63 |
13.8.2Bestämmelserna ska tas in i säkerhetsskyddslagen
Bestämmelserna om samråd, förelägganden och förbud kommer med den utvidgning som utredningen föreslår delvis att avse förhållanden mellan enskilda och det allmänna. De innehåller också skyldigheter för enskilda. De bör därför tas in i säkerhetsskyddslagen.65 I lagen bör anges att myndigheten som verksamhetsutövaren ska samråda med är den myndighet som regeringen bestämmer. I förordning om ändring i säkerhetsskyddsförordningen bör föreskrivas att Säkerhets- polisen och Försvarsmakten är samrådsmyndigheter enligt säkerhets- skyddslagen inom sitt respektive ansvarsområde.
65Säkerhetsskyddsförordningens bestämmelser om förberedande åtgärder inför driftsättning av informationssystem (3 kap.
470
14Tillgång till informationssystem vid tillsyn
Förslag: I säkerhetsskyddslagen införs en ny bestämmelse med innebörden att tillsynsmyndigheten ska, i den omfattning som det behövs för tillsynen, ha rätt att få tillgång till informationssystem som används i verksamhet som omfattas av tillsyn. Tillsynsmyn- digheten ska även få besluta att förelägga den som står under till- syn att ge tillgång till sådana informationssystem samt ha möjlig- het att förena föreläggandet med vite.
Bedömning: Tillsynsmyndigheten kommer kunna begära hand- räckning av Kronofogdemyndigheten för att genomföra den ovan nämnda tillsynsåtgärden.
14.1Inledning
Den som står under tillsyn enligt säkerhetsskyddslagen (2018:585) ska enligt regeringens lagförslag i propositionen Ett starkare skydd för Sveriges säkerhet (prop. 2020/21:194) ge tillsynsmyndigheten den information som behövs för tillsynen och, i nödvändig omfattning, tillträde till områden, lokaler och andra utrymmen, dock inte bostä- der, som används i verksamhet som omfattas av tillsyn. Tillsynsmyn- digheten ska vidare enligt förslaget få förelägga den som står under tillsyn att tillhandahålla informationen och ge tillträde till utrym- mena vid äventyr av vite (6 kap. 3 och 4 §§). Tillsynsmyndigheten ska även få begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärderna (6 kap. 5 §).
Utredningen noterar att ovan nämnda undersökningsbefogen- heter inte inbegriper någon uttrycklig rätt för tillsynsmyndigheten
471
Tillgång till informationssystem vid tillsyn |
SOU 2021:63 |
att få tillgång till verksamhetsutövarens informationssystem. Beho- vet av en sådan befogenhet behandlas nedan.
14.2Det finns skäl att införa ytterligare en undersökningsbefogenhet
Ett skäl för regeringens förslag (prop. 2020/21:194) att införa under- sökningsbefogenheter är att en tillträdesrätt bedöms vara nödvändig för att tillsynsmyndigheterna ska kunna bedriva ett effektivt arbete med att kontrollera att säkerhetsskyddslagen följs och att därigenom motverka skador på Sveriges säkerhet. Varken befintlig eller före- slagen säkerhetsskyddsreglering innehåller emellertid befogenheter för utövande av tillsyn över verksamhetsutövarens informations- system av betydelse för säkerhetskänslig verksamhet. Befogenhet att få tillgång till information och uppgifter om ett informationssystem är inte samma sak som att få tillträde eller tillgång till själva infor- mationssystemet (se nedan).
Utredningen anser att ett effektivt system för tillsyn inte kan bygga på antagandet att det finns samförstånd mellan tillsynsmyn- digheten och tillsynsobjektet. Detta gäller inte minst med hänsyn till de skyddsvärden det är fråga om samt eftersom antalet verksamheter av betydelse för Sveriges säkerhet har ökat i takt med privatiseringen av offentlig verksamhet och får antas fortsätta öka framöver (se prop. 2017/18:89 s. 125).
Samhällets utveckling och den ökande digitaliseringen av säker- hetskänslig verksamhet innebär att tillsynsmyndigheten vid tillsyn som regel behöver kontrollera vilka säkerhetsskyddåtgärder som vidtagits i informationssystem. För att genomföra en sådan kontroll är det, till skillnad från t.ex. kontroll av fysiska säkerhetsskyddsåtgär- der, i de flesta fall inte tillräckligt att passivt besiktiga informations- systemet genom designgranskning, granskning av olika dokument och underlag samt intervjuer. Det är först efter genomförandet av aktiva tekniska kontroller, t.ex. simulerade angreppsförsök, som det går att bedöma om de säkerhetsskyddsåtgärder som vidtagits i syste- met är tillräckliga, eller det kan påvisas att ett informationssystem inte är exponerat mot oskyddade nätverk. Kontroll av informationssäker- heten i ett informationssystem kan därmed endast ske genom att aktivt kontrollera och testa säkerhetsskyddsåtgärderna i systemet
472
SOU 2021:63 |
Tillgång till informationssystem vid tillsyn |
tillsammans med dess omkringliggande infrastruktur, s.k. teknisk säkerhetsgranskning.1
För att tillsynsmyndigheten ska kunna bedriva en effektiv tillsyn även avseende informationssystem bör den därför ha rätt att, i den omfattning som det behövs för tillsynen, få tillgång till de informa- tionssystem som är av betydelse för säkerhetskänslig verksamhet och som används i verksamhet som omfattas av tillsyn.2 Mot detta intresse måste man ställa den enskildes rättigheter. Var och en har bl.a. rätt till skydd mot husrannsakan och liknande intrång samt mot intrång i den personliga integriteten och för sin korrespondens.3 Husrannsakan kan också göras i
1I t.ex. Finland har Transport- och kommunikationsverket rätt att av myndigheter få tillgång till uppgifterna om de informationssystem och den datakommunikation som verket ska bedöma eller som är föremål för utredning samt, i den utsträckning det behövs för bedömningens ut- förande, tillträde till informationssystemet och lokaler där uppgifter som ingår i systemet behandlas (6 § lagen [2011/1406] om bedömning av informationssäkerheten i myndigheternas informa- tionssystem och datakommunikation).
2Därmed kan undersökningar komma att göras i informationssystem som innehåller säker- hetsskyddsklassificerade uppgifter.
3Se 2 kap. 6 § regeringsformen och artikel 8 i Europakonventionen. En genomsökning av datalagrad information på ett kontor kan utgöra en inskränkning av verksamhetsutövarens rätt till respekt för sin korrespondens (se bl.a. Wieser and Bicos Beteiligungen GmbH mot Österrike, mål nr 74336/01 och dom den 16 oktober 2007).
473
Tillgång till informationssystem vid tillsyn |
SOU 2021:63 |
På samma sätt som när det gäller tillträde till lokaler och liknande bör tillsynsmyndigheten även få förelägga den som står under tillsyn att ge tillgång till informationssystem vid äventyr av vite, samt få be- gära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärden.
14.3Bestämmelserna ska tas in i säkerhetsskyddslagen
Bestämmelserna om tillgång till informationssystem avser, på samma sätt som tillsynsmyndighetens övriga befogenheter, delvis förhållandet mellan enskilda och det allmänna och gäller delvis även skyldigheter för enskilda gentemot det allmänna. De ska därför tas in i säkerhets- skyddslagen, lämpligen genom ett tillägg till de av regeringen föreslagna bestämmelserna om undersökningsbefogenheter i 6 kap. 3 och 4 §§ (se prop. 2020/21:194, s. 12).
Utredningen bedömer att tillsynsmyndigheten redan med stöd av den av regeringen föreslagna bestämmelsen i 6 kap. 5 § säkerhets- skyddslagen kan begära handräckning av Kronofogdemyndigheten för att genomföra den ovan nämnda tillsynsåtgärden, utan att lydel- sen behöver ändras. Denna bestämmelse hänvisar nämligen tillbaka till 6 kap. 3 §.
474
15 Handläggning och överklagande
Förslag: Samrådsmyndighetens beslut om föreläggande under sam- råd samt om förbud och sanktionsavgift ska få överklagas till Förvaltningsrätten i Stockholm. På samma sätt ska även tillsyns- myndighetens beslut att förelägga tillsynsobjekt att ge tillgång till informationssystem få överklagas. När sådana beslut överklagas ska samråds- eller tillsynsmyndigheten vara motpart i domstolen. Det ska krävas prövningstillstånd vid överklagande till kammar- rätten.
Tillsynsmyndighetens beslut att förelägga tillsynsobjektet att ge tillgång till informationssystem ska kunna överklagas.
Bedömning: Det behövs inga kompletterande regler om ärende- handläggningen hos myndigheterna.1
15.1Förvaltningslagen bör gälla vid handläggningen
Förvaltningslagen gäller för handläggning av ärenden hos förvalt- ningsmyndigheterna och handläggning av förvaltningsärenden hos domstolarna. Lagen innehåller bl.a. bestämmelser om grunderna för god förvaltning och allmänna krav på handläggning av ärenden. Ut- redningen bedömer att samrådsmyndigheternas handläggning av sam- rådsärenden och deras möjlighet att besluta om förelägganden och förbud kommer att utgöra sådan handläggning av ärenden som med- för att förvaltningslagen är tillämplig. Detsamma gäller i fråga om andra ärenden enligt säkerhetsskyddslagen, såsom tillsynsärenden.
1Ovan angivet förslag om rätten till klagomål avseende samrådsmyndighetens beslut kan in- föras genom tillägg till den av regeringen i proposition 2020/21:194 förslagna bestämmelsen om överklagande, 8 kap. 4 § första stycket i säkerhetsskyddslagen (2018:585).
475
Handläggning och överklagande |
SOU 2021:63 |
I 3 § förvaltningslagen finns emellertid ett undantag för hand- läggning av ärenden i den brottsbekämpande verksamheten hos bl.a. Säkerhetspolisen. Utredningen anser dock att starka skäl talar för att förvaltningslagens bestämmelser bör gälla fullt ut vid Säkerhetspolisens handläggning av ärenden om samråd, förelägganden, förbud och sank- tionsavgift. En sådan ordning skulle skapa en stadga och förutsebar- het i förfarandet som är önskvärd, inte minst med hänsyn till att den föreslagna regleringen delvis rör myndighetsutövning mot enskilda. Vidare ligger denna lösning i linje med regeringens förslag om hand- läggningsregler för tillsynsmyndigheterna på säkerhetsskyddsområ- det. Utredningen noterar att regeringen redan förutskickat att det på förordningsnivå införs en bestämmelse om att undantaget i 3 § förvaltningslagen inte gäller för Säkerhetspolisen vid nu aktuella ärende- typer (se prop. 2020/21:194, s. 68).
15.2Beslut som bör få överklagas
Enskildas rätt enligt artikel 6 i Europakonventionen till en rättvis domstolsprövning innebär att det bör finnas möjlighet att överklaga beslut om sanktionsavgift, förelägganden och förbud för en verk- samhetsutövare att genomföra en driftsättning eller förändring av informationssystem. Även myndigheter och andra offentliga aktörer som samrådsmyndighetens beslut gått emot bör ha rätt att överklaga.2
Likaledes bör tillsynsmyndighetens beslut att förelägga tillsyns- objekt att ge tillgång till informationssystem få överklagas. Utred- ningen bedömer att ett sådant överklagande ska vara möjligt enligt den av regeringen föreslagna lydelsen av 8 kap. 4 § säkerhetsskydds- lagen. Denna bestämmelse hänvisar nämligen tillbaka till 6 kap. 4 § (se prop. 2020/21:194, s. 15).
2Regeringen har föreslagit att tillsynsmyndigheters beslut om föreläggande under samråd eller vid tillsyn samt om förbud och sanktionsavgift ska få överklagas. I samband med det har regeringen bedömt att övriga beslut enligt säkerhetsskyddslagen inte bör få överklagas (prop. 2020/21:194, s. 109 ff.).
476
SOU 2021:63 |
Handläggning och överklagande |
15.3Överklagandeinstans
Eftersom beslut om sanktionsavgift och förelägganden vid samråd är förvaltningsbeslut är det en naturlig utgångspunkt att besluten överklagas till allmän förvaltningsdomstol, även om det kan vara fråga om känsliga uppgifter ur ett säkerhetsperspektiv. Genom att beslu- ten får överklagas till allmän förvaltningsdomstol kan vidare pröv- ningen ansluta till en befintlig processordning.
Målen enligt de föreslagna bestämmelserna är av ett så särpräglat slag att det kan bli svårt att skapa och upprätthålla tillräcklig kom- petens hos alla förvaltningsrätter. Detta gäller särskilt eftersom an- talet mål kan förväntas bli få. Dessutom bör den typen av känsliga uppgifter som kan förekomma i ärendena hållas inom en så begränsad krets som möjligt. Det finns därför skäl att koncentrera mål enligt de föreslagna bestämmelserna till en domstol. Domstolen kan där- med upparbeta den särskilda kompetens på området som krävs, orga- nisera arbetet med dessa mål på ett lämpligt sätt och vidta de säker- hetsskyddsåtgärder som kan behövas. Anförda argument har föranlett regeringen att föreslå att överklagande av tillsynsmyndighetens beslut om förelägganden och sanktionsavgift ska få ske till Förvaltnings- rätten i Stockholm (se prop. 2020/21:194, s. 109 f.).3 Denna domstol bör av samma skäl även vara första överklagandeinstans för samråds- myndighetens motsvarande beslut.4 Även tillsynsmyndighetens beslut att förelägga tillsynsobjekt att ge tillgång till informationssystem bör, i likhet med vad som gäller för övriga undersökningsbefogen- heter, följa angiven ordning för klagomål.
När det gäller tillsynsmyndigheters ärenden om förbud kan dessa kräva känsliga utrikespolitiska bedömningar och innehålla känslig in- formation. Regeringen har med detta föreslagit att tillsynsmyndighe- tens beslut om förbud mot överlåtelser och andra förfaranden ska få överklagas till regeringen (se prop. 2020/21:194, s. 111). En verksam- hetsutövares driftsättning eller förändring av ett informationssystem innebär emellertid, till skillnad från en anskaffning eller överlåtelse av säkerhetskänslig verksamhet, inte nödvändigtvis att säkerhetsskydds- klassificerade uppgifter exponeras för utomstående. I dessa fall torde en prövning av ett förbudsbeslut mer sällan aktualisera den sorts ut-
3Det kan vidare konstateras att den organisatoriska frågan om säkerhetsskydd avgörs av dom- stolen.
4De angivna fördelarna gäller också Kammarrätten i Stockholm, som i förekommande fall överprövar förvaltningsrättens avgöranden.
477
Handläggning och överklagande |
SOU 2021:63 |
Om en enskild överklagar en myndighets beslut följer det av 7 a § förvaltningsprocesslagen (1971:291) att myndigheten är den enskil- des motpart i domstol. Detsamma bör gälla om beslut överklagas av en myndighet. Det bör därför anges i bestämmelsen om rätt till över- klagande att samrådsmyndigheten är motpart i domstolen när ett beslut överklagas. Vidare bör det anges att prövningstillstånd krävs vid överklagande till kammarrätten.
478
16 Offentlighet och sekretess
Bedömning: Förslagen medför inga behov av ändringar i offent- lighets- och sekretesslagen.
Det finns inte skäl att överväga några inskränkningar av reglerna i förvaltningslagen och förvaltningsprocesslagen om partsinsyn och kommunikation.
16.1Sekretesskyddet hos samrådsmyndigheten
I ärenden om samråd kan det förekomma uppgifter som är mycket känsliga och som omfattas av sekretess hos verksamhetsutövaren. Aktuell sekretessgrund kan antas vara primärt försvarssekretess en- ligt 15 kap. 2 § offentlighets- och sekretesslagen (2009:400), OSL. I vissa fall kan även utrikessekretess och underrättelsesekretess en- ligt 15 kap. 1 § respektive 18 kap. 2 § OSL aktualiseras. Sekretess enligt de nu nämnda paragraferna gäller oavsett hos vilken myndighet upp- gifterna finns. Om samrådsmyndigheten genom samrådet får tillgång till uppgifter som är sekretessbelagda enligt dessa bestämmelser, kommer uppgifterna därför att ha samma sekretesskydd hos samråds- myndigheten som de haft hos verksamhetsutövaren.
Det finns enligt utredningens bedömning inte skäl att utöka det befintliga sekretesskyddet för allmänna intressen genom ändringar i OSL. När det gäller sekretess med hänsyn till enskildas intressen för uppgifter som lämnas till samrådsmyndigheterna inom ramen för sam- råd kan det finnas behov av ett kompletterande skydd, som företrä- desvis bör åstadkommas genom ändringar i offentlighets- och sekre- tessförordningen (2009:641).1
1Regeringen har bedömt att ett kompletterande sekretesskydd för uppgifter som enskilda lämnar till tillsynsmyndigheterna inom ramen för samråd och tillsyn skulle kunna åstadkommas genom ändringar i offentlighets- och sekretessförordningen (prop. 2020/21:194, s. 113). Ut- redningen har erfarit att frågan övervägs inom Regeringskansliet (Justitiedepartementet).
479
Offentlighet och sekretess |
SOU 2021:63 |
16.2Utlämnande av uppgifter i samband med samråd
En annan fråga är i vilken mån en verksamhetsutövare som omfattas av OSL över huvud taget kan överlämna uppgifter som omfattas av sekretess till samrådsmyndigheten i ett ärende om samråd. Sekretess gäller nämligen även mellan myndigheter, vilket innebär att upp- gifter som omfattas av sekretess hos en verksamhetsutövare inte kan överlämnas till samrådsmyndigheten med mindre än att det tillåts med stöd av en sekretessbrytande bestämmelse. I samrådsärenden torde uppgifter som begärs från samrådsmyndigheten och som om- fattas av sekretess hos verksamhetsutövaren kunna lämnas över med stöd av 10 kap. 2 § OSL, som föreskriver att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet.2 Eftersom myndigheten i de aktuella fallen har en skyldighet att samråda med samrådsmyndigheten bör ett över- lämnande av sekretessbelagda uppgifter inom ramen för samrådet regelmässigt kunna ske med stöd av 10 kap. 2 § OSL. Ett överläm- nande bör i många fall också kunna ske enligt 10 kap. 27 § OSL, s.k. generalklausulen, som medger utlämnande om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som uppgiften ska skydda. Det finns därmed stöd för de verksamhetsut- övare som omfattas av OSL att lämna över de sekretessbelagda upp- gifter som krävs för samrådet till samrådsmyndigheten.
När det gäller frågan i vilken utsträckning tillsynsmyndigheten kan lämna sekretessbelagda uppgifter till samrådsmyndigheten,3 t.ex. rörande en enskild verksamhetsutövare, bedömer utredningen, med utgångspunkt i de förslag som lämnats rörande samrådsmyndighe- ternas roll (se kapitel 13), att ett sådant överlämnande bör kunna ske med stöd av 10 kap. 27 § OSL.4
2I de fall samrådsmyndigheten även utövar tillsyn kan tillsynsobjektet lämna över begärda uppgifter med stöd av 10 kap. 17 § OSL, som bl.a. föreskriver att sekretess inte hindrar att en uppgift lämnas till en myndighet om uppgiften behövs där för tillsyn över den myndighet där uppgiften förekommer.
3Regeringen har anfört att man vid behov får återkomma till frågan i vilken utsträckning tillsynsmyndigheterna kan lämna sekretessbelagda uppgifter till samordningsmyndigheterna (prop. 2020/21:194, s. 113 f.).
4Om information rutinmässigt kommer att utbytas kan det finnas ett behov av att införa en uppgiftsskyldighet för uppgiftslämnande myndighet som möjliggör ett utlämnande enligt
10kap. 28 § OSL.
480
SOU 2021:63 |
Offentlighet och sekretess |
16.3Sekretess vid tillsyn
Också i tillsynsärenden kan det förekomma uppgifter som är mycket känsliga och som omfattas av sekretess hos tillsynsobjekten. Utöver de i föregående avsnitt angivna sekretessgrunderna, och i förekom- mande fall sekretess i det internationella samarbetet enligt 15 kap. 1 a § OSL, kan vid tillsyn eventuell sekretess enligt andra bestäm- melser överföras från tillsynsobjektet till tillsynsmyndigheten enligt 11 kap. 1 § OSL. Vidare kan i tillsynsärenden uppgifter som begärs från tillsynsmyndigheten och som omfattas av sekretess hos tillsyns- objektet lämnas över för tillsynen med stöd av 10 kap. 17 § OSL.5 Utredningen anser således inte att den undersökningsbefogenhet som föreslås, vilken kan möjliggöra tillgång till känsliga uppgifter, ger anledning till ändringar i OSL (jfr regeringens överväganden i prop. 2020/21:194, s. 112 ff.).
16.4Partsinsyn och kommunikation
Vid samrådsmyndighetens handläggning enligt den föreslagna regler- ingen om samråd gäller förvaltningslagen (2017:900). När ett beslut om föreläggande i ett samrådsärende överklagas till förvaltnings- domstol gäller förvaltningsprocesslagen (1971:291). De nu nämnda lagarna innehåller vissa bestämmelser om partsinsyn och kommuni- kation. I 10 § förvaltningslagen föreskrivs att den som är part i ett ärende har rätt att ta del av allt material som har tillförts ärendet. Av 25 § samma lag följer att en myndighet innan den fattar beslut i ett ärende, om det inte är uppenbart obehövligt, ska underrätta den som är part om allt material av betydelse för beslutet och ge parten tillfälle att inom en bestämd tid yttra sig över materialet. Av 18 § förvalt- ningsprocesslagen framgår att en part, innan ett mål avgörs, som huvudregel ska ha fått kännedom om det som tillförts målet genom annan än honom eller henne själv och fått tillfälle att yttra sig över det. Även enligt 10 § första stycket och 12 § förvaltningsprocess- lagen gäller en viss underrättelseskyldighet gentemot part.
De nu nämnda bestämmelserna gäller, enligt 10 § och 25 § tredje stycket förvaltningslagen respektive 19 § förvaltningsprocesslagen, med de begränsningar som följer av 10 kap. 3 § OSL. Av 10 kap. 3 §
5Bestämmelsens tillämplighet förutsätter att tillsynsobjektet är en myndighet där uppgiften förekommer.
481
Offentlighet och sekretess |
SOU 2021:63 |
första stycket OSL framgår att sekretess inte hindrar att en enskild, som är part i ett mål eller ärende hos domstol eller annan myndighet och som på grund av sin partsställning har rätt till insyn i handlägg- ningen, tar del av en handling eller annat material i målet eller ären- det. En sådan handling eller ett sådant material får dock inte lämnas ut till parten i den utsträckning det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att sekretessbelagd uppgift i materialet inte röjs. I sådana fall ska parten på annat sätt få upplysning om vad materialet innehåller i den utsträckning det behövs för att parten ska kunna ta till vara sin rätt och det kan ske utan allvarlig skada för det intresse som sekretessen ska skydda. Upplysningsskyldigheten kan fullgöras både skriftligen och muntligen, t.ex. genom en muntlig redogörelse för innehållet i vissa handlingar (prop. 1971:30 s. 431 och 443).
Som framgår ovan kan det i ett samrådsärende förekomma sekre- tessbelagda uppgifter av mycket känslig natur. Ett röjande av sådana uppgifter, även till någon som är part i ärendet, skulle i vissa fall kunna skada Sveriges säkerhet. Sveriges säkerhet är ett synnerligen starkt allmänt intresse. När det finns anledning att ingripa med stöd av de föreslagna bestämmelserna torde därför en tillämpning av 10 kap. 3 § OSL regelmässigt resultera i bedömningen att det är av synnerlig vikt att inte röja uppgifter av sådan karaktär att det skulle innebära skada för Sveriges säkerhet att lämna ut dem. En annan bedömning kan göras när det gäller mindre känsliga uppgifter av mer teknisk karaktär, som t.ex. vilken typ av säkerhetsskyddsåtgärd som är nöd- vändig för att uppnå ett väl anpassat säkerhetsskydd i det planerade förfarandet. Utredningen anser mot denna bakgrund att bestämmel- serna i förvaltningslagen och förvaltningsprocesslagen tillsammans med kravet på synnerlig vikt i 10 kap. 3 § OSL på ett rimligt sätt balanserar intresset av partsinsyn och kommunikation mot intresset av att skydda känsliga uppgifter i de aktuella ärendena. Mot denna bakgrund bedöms det inte behövas några inskränkningar av reglerna om partsinsyn och kommunikation.
482
17 Konsekvensbeskrivning
Bedömning: Skyddet för Sveriges säkerhet stärks genom för- slagen.
Utredningens förslag att Försvarets materielverk (FMV) ges i uppdrag att – i samråd och samverkan med andra myndigheter och aktörer – ta fram formerna för arbetet med en nationell gemen- sam
För de verksamhetsutövare som kommer att träffas av övriga förslag kan de innebära ökade kostnader och administrativa bör- dor. Eventuella kostnader för statliga myndigheter bedöms rym- mas inom respektive myndighets befintliga anslagsram.
Förslagen innebär även vissa ökade förvaltningskostnader för de myndigheter som kommer att vara samrådsmyndigheter (Säker- hetspolisen och Försvarsmakten). Dessa begränsade kostnader bedöms emellertid rymmas inom befintlig anslagsram och för- väntat utökat anslag (se prop. 2020/21:30).
Förslagen medför dessutom att Kronofogdemyndigheten och de allmänna förvaltningsdomstolarna får något fler arbetsupp- gifter. De kostnadsökningarna bedöms inte bli större än att de ryms inom befintliga anslag.
Utredningens bedömningar i övrigt, bl.a. att certifierade IKT- produkter,
483
Konsekvensbeskrivning |
SOU 2021:63 |
17.1Inledning
I utredningens uppdrag ingår att analysera konsekvenserna av lämnade förslag i enlighet med
I utredningsdirektiven anges att utredningen ska bedöma de eko- nomiska konsekvenserna av förslagen för det allmänna och för en- skilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredningen föreslå hur dessa ska finansieras. Utred- ningen ska särskilt ange konsekvenserna för företag i form av kost- nader och ökade administrativa bördor samt personella konsekvenser för berörda myndigheter.
I detta kapitel redovisas utredningens bedömning av konsekven- serna av de förslag utredningen lämnar. Förslagen syftar framför allt till att ytterligare skärpa säkerhetsskyddslagstiftningen.
17.2Utgångspunkter
Säkerhetsskydd handlar om skyddet för Sveriges mest skyddsvärda verksamheter. Konsekvenserna av att skyddet fallerar kan därför bli mycket allvarliga. Den föreslagna regleringen syftar bl.a. till att göra vissa säkerhetsskyddsfrågor mer centrala hos verksamhetsutövare, att förhindra driftsättningar och väsentliga förändringar av informa- tionssystem som är olämpliga ur säkerhetsskyddssynpunkt samt att öka efterlevnaden av säkerhetsskyddslagstiftningen. Förslagen inne- bär på detta sätt en förstärkning av skyddet för Sveriges säkerhet.
17.3De som berörs av förslagen
Förslagen ska bidra till att stärka skyddet för Sveriges säkerhet. Ut- redningens förslag berör, förutom uppdraget till Försvarets materiel- verk (FMV), framför allt de statliga myndigheter som utredningen föreslår ska vara samrådsmyndigheter med tillkommande befogen- heter enligt säkerhetsskyddslagen (Säkerhetspolisen och Försvars- makten) och verksamhetsutövare som har informationssystem av be- tydelse för säkerhetskänslig verksamhet. Förslagen kan även beröra
484
SOU 2021:63 |
Konsekvensbeskrivning |
tillsynsmyndigheter på säkerhetsskyddsområdet som samverkar med samrådsmyndigheterna samt Kronofogdemyndigheten och domstolar.
17.4Frågan om krav på certifiering
Utredningen föreslår att regeringen ska ge Försvarets materielverk (FMV) i uppdrag att – i samråd och samverkan med andra myndig- heter och berörda aktörer – ta fram formerna för arbetet med en nationell gemensam
Utredningens bedömningar i övrigt, bl.a. att certifierade IKT- produkter,
När det gäller de konsekvenser som följer av det europeiska ram- verket för cybersäkerhetscertifiering är dessa fortfarande svårbedömda då europeiska ordningar för sådan certifiering inte börjat tillämpas1 och den närmare omfattningen av framtida frivillig eller obligatorisk cybersäkerhetscertifiering enligt det europeiska ramverket inte är känd.
1Dock har Enisa den 26 maj 2021 formellt överlämnat den första slutliga versionen av en euro- peisk certifieringsordning (EUCC) till
485
Konsekvensbeskrivning |
SOU 2021:63 |
Internationell handel med tredje land och ömsesidigt erkännande av certifikat
I utredningsdirektiven anges att utredningen även ska beakta de konsekvenser som bl.a. införandet av det europeiska ramverket för cybersäkerhetscertifiering kan få när det gäller internationell handel med tredjeland samt hur det påverkar erkännande och utfärdande av certifikat och andra åtaganden som följer av Sveriges medlemskap i bl.a. CCRA.
Utredningen har i sitt delbetänkande (avsnitt 13.5) påbörjat att analysera sådana effekter av EU:s cybersäkerhetsakt. De slutsatser som presenterats Kommerskollegiums rapport The Cyber Effect – the implications of IT security regulation on international trade (2018) gör sig fortfarande gällande. Eftersom
17.5Förslaget om en stärkt samrådsroll
Konsekvenser för verksamhetsutövare
Förslagen innebär till viss del att verksamhetsutövare, dvs. myndig- heter, andra offentliga aktörer och företag, påförs ytterligare krav som kan komma att medföra bl.a. ekonomiska konsekvenser.
Verksamhetsutövare ska redan i dag ha god kännedom om sina skyddsvärden och göra en särskild säkerhetsskyddsbedömning vid driftsättning av informationssystem i säkerhetskänslig verksamhet. Vad gäller förslaget om att verksamhetsutövare, utöver en säkerhets- skyddsbedömning, även ska göra en lämplighetsprövning inför drift- sättning eller väsentlig förändring av informationssystemet bör de bedömningarna utgå från den säkerhetsskyddsanalys som alla verk- samhetsutövare redan i dag har en skyldighet att göra enligt 2 kap. 1 § säkerhetsskyddslagen (2018:585)2. Kravet på att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning innebär att ris- kerna för de skyddsvärden som har identifierats i säkerhetsskyddsana-
2Regeringens lagförslag i proposition 2021/21:194 innebär inte någon ändring av kravet på säkerhetsskyddsanalys i 2 kap. 1 § säkerhetsskyddslagen.
486
SOU 2021:63 |
Konsekvensbeskrivning |
lysen konkretiseras i förhållande till en viss situation. Detta medför därför inte något betydande merarbete eller annan kostnad. Utred- ningen har emellertid föreslagit att den särskilda säkerhetsskydds- bedömningen även ska göras innan en väsentlig förändring av infor- mationssystem som har betydelse för säkerhetskänslig verksamhet. Att verksamhetsutövaren också i denna situation ska se till att säker- hetsskyddet utformas så att motiverade säkerhetskrav i systemet till- godoses, kan innebära visst merarbete.3 Om den föreslagna lämplighets- prövningen mynnar ut i bedömningen att förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska verksamhetsutövaren även samråda med Säkerhetspolisen eller Försvarsmakten (samrådsmyndigheten) om övriga rekvisit enligt nuvarande 3 kap. 2 § säkerhetsskyddsförord- ningen (2018:658)4 är uppfyllda. Samrådet bör bygga på det underlag som verksamhetsutövaren redan tagit fram inom ramen för den sär- skilda säkerhetsskyddsbedömningen. Utredningen anser därför att den faktiska arbetsinsatsen för att inleda och genomföra samrådet är begränsad. Däremot kan samrådsprocessen göra att det tar längre tid att inleda ett förfarande än vad som annars hade varit fallet, vilket kan påverka verksamheten negativt. Hur lång tid samrådet kommer att ta och vad det kommer att mynna ut i har dock verksamhets- utövaren ofta en möjlighet att själv påverka.
Det som kan ha störst ekonomisk påverkan är förslagen om att samrådsmyndigheten under vissa omständigheter ska få besluta om förbud mot att genomföra en planerad driftsättning eller förändring av informationssystem för att förhindra skada för Sveriges säkerhet. För den verksamhetsutövare som meddelas förbud kan det innebära t.ex. att verksamhetsutövaren måste köpa en tjänst av en annan mot- part som kräver högre ersättning. Möjligheten att besluta om förbud är dock ett sistahandsalternativ när övriga möjligheter är uttömda eller bedöms som utsiktslösa.
Vidare innebär förslaget om att tillsynsmyndigheten ska få ytter- ligare en undersökningsbefogenhet att verksamhetsutövare kan be- höva ge tillsynsmyndigheten tillgång till sina informationssystem. Kostnaderna för att bistå tillsynsmyndigheten bör dock som regel vara begränsade.
3Befintligt krav på särskild säkerhetsskyddsbedömning innebär att verksamhetsutövaren endast inför driftsättning av ett sådant system ska ta ställning till vilka säkerhetskrav i systemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses.
4Utredningen föreslår att denna bestämmelse överförs till säkerhetsskyddslagen.
487
Konsekvensbeskrivning |
SOU 2021:63 |
Utredningens förslag innebär också möjlighet för samrådsmyn- digheterna att besluta om sanktionsavgifter för vissa överträdelser av regelsystemet.5 För verksamhetsutövare som följer gällande krav leder förslaget inte till några ökade kostnader. För de aktörer som inte följer gällande regler innebär förslaget ekonomiska konsekvenser och kan medföra ökade kostnader eftersom sanktionsavgifter ska kunna tas ut utan krav på uppsåt eller oaktsamhet. Det föreslås ingen be- gränsning av storleken på sanktionsavgifterna i förhållande till den ekonomiska aktörens årsomsättning vilket kan leda till att mindre aktörer riskerar relativt sett högre avgifter. Eftersom en sanktions- avgift kan uppgå till höga belopp beroende på bl.a. överträdelsens allvar kan förslaget i denna del även förväntas leda till en bättre regel- efterlevnad.
Genom möjligheten att överklaga myndigheternas beslut om före- läggande, förbud och sanktionsavgift till domstol bedömer utredningen att ett fullgott skydd för enskildas rättigheter säkerställs.
Mot bakgrund av det ovan anförda bedömer utredningen att för- slagen i de flesta fall endast kommer medföra begränsade administrativa och andra kostnader för offentliga och enskilda verksamhetsutövare. Kostnadsökningen för statliga myndigheter som är verksamhetsut- övare bör enligt utredningen rymmas inom respektive myndighets be- fintliga anslagsram.
Konsekvenser för samråds- och tillsynsmyndigheterna
I syfte att höja ambitionsnivån för samrådsprocessen kommer Säker- hetspolisens och Försvarsmaktens roll inom säkerhetsskyddet delvis att förändras. Utredningens förslag innebär bl.a. en viss utvidgning av Säkerhetspolisens och Försvarsmaktens ansvar för samråd och rätt att inleda sådana. Vidare föreslår utredningen att Säkerhetspolisen och Försvarsmakten som samrådsmyndigheter ska få vissa nya befo- genheter, t.ex. möjlighet att besluta om förbud mot driftsättning eller väsentlig förändring av informationssystem i säkerhetskänslig verksamhet samt besluta om åtgärdsförelägganden och sanktionsav- gift mot den som inte efterlever säkerhetsskyddslagstiftningens krav. Även om utredningen föreslår att stärkt samrådsroll tillkommer be-
5Förslaget om sanktionsavgift tydliggör för ekonomiska aktörer vilka sanktioner som kan bli aktuella vid överträdelser och under vilka förutsättningar avgift kan beslutas.
488
SOU 2021:63 |
Konsekvensbeskrivning |
fogenheterna befintliga myndigheter på säkerhetsskyddsområdet som redan har många liknande uppgifter.
För att samrådsmyndigheterna ska kunna fullgöra sina nya skyl- digheter enligt säkerhetsskyddslagen ska berörda verksamhetsutövare i större utsträckning samråda med och lämna uppgifter till myndig- heterna. Detta innebär ett ökat administrativt arbete och därtill hörande kostnader för myndigheterna. Eftersom verksamhetsutöva- rens skyldighet att samråda enligt utredningens förslag även är bero- ende av att en lämplighetsprövning leder till bedömningen att det planerade förfarandet inte är olämpligt, bör en ökning av antalet sam- råd inte bli annat än begränsad.6
Den föreslagna sanktionsbestämmelsen är en komplettering till det av regeringen förslagna sanktionssystemet i säkerhetsskyddslagen och innebär en motsvarande befogenhet för samrådsmyndigheten att besluta att en avgift ska kunna tas ut oavsett om överträdelsen skett uppsåtligen eller av oaktsamhet.7 Att sanktionsavgiftssystemet bygger på strikt ansvar underlättar för myndigheternas bedömning i fråga om att ta ut sanktionsavgift. Det ska emellertid inte vara obli- gatoriskt att ta ut sanktionsavgift för överträdelser som kan leda till sanktionsavgift. Genom att myndigheterna själva får besluta om sanktionsavgift kan sanktionsförfarandet antas bli effektivare och enklare. Förslaget bedöms ha positiva effekter för myndigheternas möjligheter till övervakning av skyldigheter utan att påverka kost- naderna i någon större utsträckning. Kostnader kan antas tillkomma för delgivning av beslut om sanktionsavgift.
Sammantaget kan utredningens förslag om kompletterande befo- genheter för Säkerhetspolisen och Försvarsmakten förväntas leda till en effektivare samrådsprocess. Möjligheten att ingripa ligger i tillämp- liga delar i linje med regeringens lagförslag i proposition 2020/21:194 beträffande tillsynsmyndigheternas befogenheter på säkerhetsskydds- området, med undantaget att vitesföreläggande vid pågående förfa- rande inte får beslutas av samrådsmyndigheten.
Säkerhetspolisen och Försvarsmakten måste ha tillräckliga resur- ser för att på ett effektivt sätt kunna utöva sin förstärkta samrådsroll
6Dessa kostnader är främst beroende av i vilken omfattning som samråd kommer att ske och är i dag svåra att uppskatta. Eventuella kostnader bedöms emellertid inledningsvis vara begränsade.
7För att samrådsmyndigheterna – i likhet med vad som enligt regeringen bör gälla för tillsyns- myndigheter vid verksamhetsutövares anskaffning, utkontraktering och överlåtelse av säkerhets- känslig verksamhet – ska kunna beivra regelöverträdelser innehåller den föreslagna regleringen bestämmelser om möjlighet att påföra en verksamhetsutövare en sanktionsavgift.
489
Konsekvensbeskrivning |
SOU 2021:63 |
på säkerhetsskyddsområdet. Detta innebär att samrådsverksamhe- ten ska ha de personella, tekniska och ekonomiska resurser som be- hövs för att på ett effektivt sätt kunna utföra sin uppgift. Med hän- syn till Säkerhetspolisens och Försvarsmaktens omfattande kompetens och utpräglade roller inom informationssäkerhet på säkerhetsskydds- området bör behovet av att, som en följd av att myndigheterna till- delas nya befogenheter och sanktionsmöjligheter, initialt utbilda personal och ändra vissa arbetsformer, vara förhållandevis litet. För- slaget torde inte heller innebära att verksamheterna hos myndig- heterna behöver omorganiseras nämnvärt, utan merparten av de nya uppgifterna bör kunna tilldelas den existerande organisationen. I den mån den utvidgade samrådsverksamheten hos Säkerhetspolisen och Försvarsmakten förutsätter planering av organisation och arbetssätt samt upprättande av anvisningar respektive föreskrifter för samråds- förfarandet och verksamhetsutövarens lämplighetsprövning bedöms vissa uppgifter kunna lösas genom en omorganisering av resurserna samtidigt som vissa resurstillskott kan behövas. Uppgifterna bedöms för övrigt inte ha annat än marginella konsekvenser för arbetsför- delningen med andra myndigheter.
Utredningen bedömer vidare att den ökade samverkan mellan sam- råds- och tillsynsmyndigheter som kan förekomma i samband med driftsättning och förändring av informationssystem inte får annat än marginella ekonomiska effekter för myndigheterna.
Sammanfattningsvis kommer alltså kostnaderna för samrådsmyn- digheterna att öka, men de bedöms vara begränsade. Behovet av resur- ser som de nya uppgifterna kan föranleda inledningsvis avser främst viss personalförstärkning.
Utredningen föreslår dessutom att tillsynsmyndigheterna ska få en ny undersökningsbefogenhet: möjligheten att, vid äventyr av vite, få tillgång till verksamhetsutövarens informationssystem. Förslaget i denna del bedöms ha positiva effekter för myndigheternas möjlig- heter till effektiv tillsyn utan att påverka kostnaderna i någon större utsträckning.
Genom budgetpropositionen för 2021 utökades tillsynsmyndig- heters anslag med 100 miljoner kronor från och med 2021 och med ytterligare 10 miljoner kronor från och med 2022. Regeringen har dessutom i propositionen Totalförsvaret
490
SOU 2021:63 |
Konsekvensbeskrivning |
De av utredningen föreslagna kompletteringarna förväntas inte på- verka samråds- och tillsynsmyndigheternas verksamheter mer än att konsekvenserna kan hanteras inom nu nämnda anslag.
Konsekvenser för Kronofogdemyndigheten
Den nya bestämmelsen om sanktionsavgift kan komma att öka an- talet ärenden hos Kronofogdemyndigheten något. Även förslaget om att tillsynsmyndigheterna ska ha rätt att få tillgång till verksam- hetsutövares informationssystem kan leda till att Kronofogdemyn- dighetens hjälp behövs vid ett antal tillfällen, men ökningen bedöms inte bli särskilt stor och förväntas inte påverka Kronofogdemyn- dighetens verksamhet mer än att konsekvenserna kan hanteras inom befintliga anslag för myndigheten.
Konsekvenser för domstolarna
Samrådsmyndighetens beslut om föreläggande under samråd, förbud och om att ta ut sanktionsavgift ska enligt utredningens förslag få överklagas till Förvaltningsrätten i Stockholm.8 För prövning i Kam- marrätten i Stockholm kommer det enligt förslaget krävas prövnings- tillstånd. Utredningen bedömer att ökningen av antalet mål kommer att bli begränsad. Även med beaktande av att målen kan vara kom- plexa finner utredningen därför att kostnaderna för den ökade mål- tillströmningen torde vara begränsade. Domstolarnas säkerhetsskydd kan även behöva anpassas med anledning av de säkerhetsskydds- klassificerade uppgifter som kan förekomma i målen. Utredningen anser dock i nuläget att både kostnaderna för den något ökade mål- tillströmningen och eventuella anpassningar av säkerhetsskyddet bör rymmas inom befintliga anslagsramar.
8Det kan tilläggas att tillsynsmyndighetens beslut att förelägga den som står under tillsyn att ge tillgång till informationssystem enligt 6 kap. 3 § säkerhetsskyddslagen inte får överklagas (se 8 kap. 4 § tredje stycket, lydelse enligt proposition 2020/21:194).
491
Konsekvensbeskrivning |
SOU 2021:63 |
Konsekvenser för den kommunala självstyrelsen
Kommuner och regioner kan bedriva verksamhet av betydelse för Sveriges säkerhet. Säkerhetskänslig verksamhet i sådan verksamhet som kommuner och regioner bedriver, t.ex. räddningstjänst, energi- eller dricksvattenförsörjning och sjukvård, kan påverkas av förslagen. Om samrådsmyndigheten beslutar om förbud mot att inleda ett förfarande innebär det att kommunen eller regionen ifråga inte fritt kan förfoga över sin egendom. Förslagen påverkar alltså i viss mån den kommunala självstyrelsen. Den föreslagna regleringen går dock inte utöver vad som är nödvändigt för att skydda de mest skydds- värda verksamheterna i samhället. Dessutom ska förbud användas restriktivt och som en sista utväg när andra åtgärder inte är tillräck- liga. Förslagen berör därför den kommunala självstyrelsen på det minst ingripande sätt som är möjligt.
Kompetensförsörjning
Det finns i dag ett stort behov av kompetensförsörjning inom säkerhetsskyddsområdet. Många tillsynsmyndigheter och andra aktö- rer har påpekat att det redan i dag är svårt att rekrytera personal med rätt kompetens. Bl.a. finns det brist på personer med kunskap om it- säkerhet, informationssäkerhet och allmän kunskap om säkerhets- skydd. Om kompetensförsörjningen inte hanteras finns det en risk att förslagen inte får det genomslag som behövs för att höja ambi- tionsnivån inom säkerhetsskyddet. Förslagen i detta betänkande kommer emellertid endast innebära att behovet av kompetensför- sörjning ökar i begränsad utsträckning. Betänkandets förslag kan sam- tidigt medföra att den spetskompetens inom säkerhetsskydd och cybersäkerhet som finns vid expertmyndigheterna, genom det sam- rådsförfarandet, i större utsträckning kan tas till vara som resurs för samhällets cybersäkerhet. Vidare har regeringen den 20 maj 2021 gett Säkerhetspolisen och Försvarsmakten i uppdrag att utreda hur kom- petensförsörjningen kan tryggas (Ju2021/02005)9. Lösningar för han- tering av eventuella konsekvenser på grund av kompetensbrist kan således i första hand identifieras genom pågående utredningsåtgärder.
9Uppdraget ska redovisas till Regeringskansliet (Justitiedepartementet och Försvarsdeparte- mentet) senast den 1 mars 2022.
492
SOU 2021:63 |
Konsekvensbeskrivning |
17.6Konsekvenser för samhället
Syftet med det föreslagna systemet är att förbättra säkerheten i nät- verks- och informationssystem i säkerhetskänslig verksamhet. Efter- som även skyddet för Sveriges säkerhet därmed stärks kan regleringen anses ha övergripande positiva konsekvenser för hela samhället.
17.7Brottsförebyggande effekter
Även om någon ny kriminalisering inte används kan förslaget antas ha vissa brottsförebyggande effekter. Regeringen har gjort bedöm- ningen att all Säkerhetspolisens verksamhet, även på säkerhetsskydds- området, i någon mening är brottsbekämpande (se prop. 2013/14:110 s. 481 och prop. 2015/16:65 s. 40). De föreslagna befogenheterna kommer således i viss mån att underlätta för den brottsbekämpande verksamheten. Säkerhetsskyddet stärks och den skärpta regleringen av säkerhet i nätverks- och informationssystem bör vidare försvåra full- bordandet av dataintrång, bl.a. då ökade krav ställs för verksamhets- utövares driftsättning respektive förändring av system som har bety- delse för säkerhetskänslig verksamhet.
17.8Övriga konsekvenser
Följande områden berörs inte av förslagen (15 § kommittéförord- ningen):
–sysselsättning och offentlig service i olika delar av landet,
–jämställdheten mellan kvinnor och män, eller
–möjligheterna att nå de integrationspolitiska målen.
Förslagen bedöms inte heller i övrigt medföra några konsekvenser som behöver redovisas i detta sammanhang.
493
18 Författningskommentar
18.1Förslaget till lag om ändring i säkerhetsskyddslagen (2018:585)
3 a kap. Skyldigheter inför driftsättning av informationssystem
1 § Innan ett informationssystem som har betydelse för säkerhetskäns- lig verksamhet tas i drift, eller i väsentliga avseenden förändras, ska verk- samhetsutövaren genom en särskild säkerhetsskyddsbedömning ta ställ- ning till vilka säkerhetskrav i informationssystemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses.
Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om driftsättningen eller förändringen av informationssystemet är lämplig från säkerhets- skyddssynpunkt. Verksamhetsutövaren ska också samråda enligt 2 §.
Den särskilda säkerhetsskyddsbedömningen och lämplighetspröv- ningen ska dokumenteras.
Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte in- ledas.
Övervägandena finns i avsnitt 13.8.
Paragrafen, som är ny, innehåller bestämmelser om särskild säker- hetsskyddsbedömning, lämplighetsprövning och samråd inför drift- sättning och väsentlig förändring av informationssystem i säkerhets- känslig verksamhet. Bestämmelserna motsvarar delvis nuvarande 3 kap. 1 § i säkerhetsskyddsförordningen (2018:658).
Av första stycket framgår att en verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning innan denne inleder ett sådant förfarande som avses i bestämmelsen. Det innebär att verksamhets- utövaren ska dels identifiera de säkerhetskrav som informations- systemet behöver, dels se till att säkerhetsskyddet utformas så att
495
Författningskommentar |
SOU 2021:63 |
dessa krav tillgodoses. Bestämmelsen motsvarar nuvarande 3 kap. 1 § säkerhetsskyddsförordningen med det tillägget att den särskilda säker- hetsskyddsbedömningen ska omfatta även väsentliga förändringar av informationssystem som kan ha betydelse för säkerhetskänslig verk- samhet. Den särskilda säkerhetsskyddsbedömningen ska utgöra ett underlag för den lämplighetsprövning som ska göras och som regle- ras i andra stycket.
Enligt andra stycket ska verksamhetsutövaren, med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständig- heter, pröva om det planerade förfarandet är lämpligt från säker- hetsskyddssynpunkt. Verksamhetsutövaren ska därvid bl.a. beakta behovet av säkerhetsskydd och om det är möjligt att uppnå ett till- räckligt säkerhetsskydd. Det kan finnas förfaranden som inte är lämp- liga oavsett vilka säkerhetsskyddsåtgärder som vidtas, t.ex. när flera redundanta samhällsviktiga funktioner ersätts av ett informations- system, eller vid sammanställningar av olika datamängder, s.k. agg- regering av uppgifter, som inte ska vara möjliga att sammanställa. Sådana funktioner innebär stora risker för Sveriges säkerhet och kan inte skyddas i tillräcklig utsträckning. En driftsättning eller väsentlig förändring av informationssystem i säkerhetskänslig verksamhet kan även vara olämplig av andra skäl.
Lämplighetsprövningen ska grundas på säkerhetsskyddsanalysen och den särskilda säkerhetsskyddsbedömningen samt sådan informa- tion om exempelvis hotbilder och kritiska beroenden mellan verk- samheter som verksamhetsutövaren skaffat sig eller fått från sam- råds- eller tillsynsmyndigheten.
Både den särskilda säkerhetsskyddsbedömningen och lämplighets- prövningen ska avse samtliga moment i det planerade förfarandet. Säkerhetsskyddsklassificerade uppgifter kan röjas under såväl drift- sättning som förändring av informationssystemet. Verksamhetsut- övaren behöver inkludera aktuellt moment i den särskilda säkerhets- skyddsbedömningen och lämplighetsprövningen.
Av tredje stycket framgår att den särskilda säkerhetsskyddsbedöm- ningen och lämplighetsprövningen ska dokumenteras. Bestämmel- sen motsvarar delvis nuvarande 3 kap. 1 § säkerhetsskyddsförord- ningen.
I fjärde stycket klargörs att verksamhetsutövaren inte får inleda det planerade förfarandet om lämplighetsprövningen enligt andra
496
SOU 2021:63 |
Författningskommentar |
stycket leder till bedömningen att det är olämpligt från säkerhets- skyddssynpunkt.
2 § Om lämplighetsprövningen enligt 1 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssyn- punkt, ska verksamhetsutövaren samråda med den myndighet som regeringen bestämmer (samrådsmyndigheten), innan ett informations- system som kan förutses komma att behandla säkerhetsskyddsklassi- ficerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre tas i drift, eller i väsentliga avseenden förändras.
Samrådsskyldigheten gäller även i fråga om andra informations- system än sådana som anges i första stycket, om obehörig åtkomst till syste- men kan medföra en skada för Sveriges säkerhet som inte är obetydlig.
Samrådsmyndigheten får besluta att förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Övervägandena finns i avsnitt 13.8.
Paragrafen, som är ny, innehåller bestämmelser om samråd och åtgärdsföreläggande. Bestämmelserna motsvarar delvis nuvarande 3 kap. 2 § säkerhetsskyddsförordningen.
Enligt första stycket ska verksamhetsutövaren, om lämplighets- prövningen enligt 1 § leder till bedömningen att det planerade för- farandet inte är olämpligt från säkerhetsskyddssynpunkt, i vissa fall samråda med samrådsmyndigheten. I stycket anges även att reger- ingen ska utse samrådsmyndigheter enligt lagen. I övrigt motsvarar bestämmelserna i första och andra stycket, om skyldigheten att sam- råda, 3 kap. 2 § säkerhetsskyddsförordningen.
Verksamhetsutövaren ska ta initiativ till samråd efter det att den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen har genomförts men innan det planerade förfarandet inleds. Det kan dock vara av vikt att verksamhetsutövaren inte endast fokuserar på det enskilda moment som kräver samråd utan att denne ser det planerade förfarandet i dess helhet.
En naturlig utgångspunkt är att verksamhetsutövaren inleder sam- rådet genom att ge in dokumentationen av den särskilda säkerhets- skyddsbedömningen och lämplighetsprövningen till samrådsmyn- digheten. Vilket ytterligare underlag som kan vara nödvändigt att ge in kan variera från fall till fall. En beskrivning av den planerade drift-
497
Författningskommentar |
SOU 2021:63 |
sättningen eller förändringen av informationssystemet bör ges in, liksom eventuell dokumentation avseende förfarandet. I många fall kan verksamhetsutövaren även behöva ge samrådsmyndigheten till- gång till relevanta delar av sin säkerhetsskyddsanalys.
Samrådet kan bl.a. omfatta frågan om en planerad driftsättning bör ändras, eller en förändring av ett informationssystem bör be- gränsas, på något sätt för att inte vara olämplig. Samrådsmyndig- hetens prövning bör också innefatta en bedömning av vad driftsätt- ningen kan innebära på längre sikt, t.ex. vid omvärldsförändringar och ändrade hotbilder. Hur omfattande samrådet behöver vara får av- göras med hänsyn till omständigheterna i det enskilda fallet.
Enligt tredje stycket får samrådsmyndigheten inom ramen för samrådet förelägga verksamhetsutövaren att vidta åtgärder för att full- göra sina skyldigheter enligt lagen och föreskrifter som har med- delats i anslutning till den. Ett föreläggande kan innehålla anvisningar om vilka ytterligare säkerhetsskyddsåtgärder för berört informa- tionssystem som verksamhetsutövaren behöver vidta. Föreläggandet kan också innebära att verksamhetsutövaren vid en senare tidpunkt under samrådet ska återrapportera till samrådsmyndigheten hur olika åtgärder har utförts.
Utgångspunkten är att samrådet ska ha avslutats innan det pla- nerade förfarandet inleds. Det innebär bl.a. att en driftsättning som utgångspunkt får påbörjas först när samrådet har genomförts och under förutsättning att samrådsmyndigheten inte har fattat beslut om förbud enligt 5 §.
Om samrådsmyndigheten bedömer att syftet med samrådet har uppfyllts och att verksamhetsutövaren kan gå vidare med det plane- rade förfarandet bör myndigheten fatta beslut om att avsluta sam- rådet utan vidare åtgärd.
I vilka fall samrådsmyndigheten får besluta om förbud mot att inleda det planerade förfarandet regleras i 5 §.
3 § Om verksamhetsutövaren inte samråder med samrådsmyndig- heten trots att det finns en skyldighet att göra det, får samrådsmyndig- heten inleda samrådet.
Övervägandena finns i avsnitt 13.8.
Paragrafen, som är ny, innehåller bestämmelser om när samråds- myndigheten får inleda ett samråd.
498
SOU 2021:63 |
Författningskommentar |
Enligt paragrafen får samrådsmyndigheten inleda ett samråd om verksamhetsutövaren underlåter att göra det trots att samrådsskyl- dighet föreligger. Utgångspunkten är att verksamhetsutövaren ska ta initiativ till samrådet när det föreligger en samrådsskyldighet enligt 2 §. Det kan dock inträffa att samrådsmyndigheten får känne- dom om att någon avser att genomföra ett samrådspliktigt för- farande och att något samråd inte har inletts av verksamhetsutövaren. I en sådan situation kan samrådsmyndigheten med stöd av bestäm- melsen själv inleda ett samråd. Det som föreskrivs i 2 § tredje stycket om förelägganden och 5 § om förbud gäller även i fråga om ett sådant samråd.
4 § Ett informationssystem som ska användas i säkerhetskänslig verk- samhet får inte tas i drift förrän det har godkänts från säkerhetsskydds- synpunkt av verksamhetsutövaren. Godkännandet ska dokumenteras.
Övervägandena finns i avsnitt 13.8.
Paragrafen, som är ny, innehåller bestämmelser om godkännande av ett informationssystems driftsättning i säkerhetskänslig verksam- het. motsvarar nuvarande 3 kap. 3 § säkerhetsskyddsförordningen.
Bestämmelsen innebär att verksamhetsutövaren måste fatta ett formellt beslut om att informationssystemet får tas i bruk. Beslutet ska dokumenteras. En naturlig utgångspunkt är att verksamhetsut- övaren godkänner en driftsättning av informationssystemet först efter att samrådet har avslutats.
5 § Om ett beslut om föreläggande enligt 2 § inte följs eller om det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får samrådsmyndigheten besluta att drift- sättningen eller förändringen av informationssystemet inte får genom- föras (förbud).
Övervägandena finns i avsnitt 13.8.
Paragrafen, som är ny, innehåller bestämmelser om när samråds- myndigheten får besluta att en driftsättning eller väsentlig föränd- ring av ett informationssystem inte får genomföras (förbud).
Av paragrafen framgår att samrådsmyndigheten får besluta att det planerade förfarandet inte får genomföras om ett föreläggande inte
499
Författningskommentar |
SOU 2021:63 |
följs eller om förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas.
Så långt det är möjligt bör samrådsmyndigheten sträva efter att eventuella problem ska hanteras genom samrådet och förelägganden. Det kan dock finnas fall där en verksamhetsutövare, trots föreläg- ganden, inte vidtar de åtgärder som behövs för att förfarandet ska vara lämpligt från säkerhetsskyddssynpunkt. Det kan också finnas förfaranden som är olämpliga oavsett vilka säkerhetsskyddsåtgärder som vidtas. Ett exempel kan vara att det i verksamheten förekommer säkerhetsskyddsklassificerade uppgifter som är så känsliga för Sveriges säkerhet att det inte under några förhållanden är lämpligt att de be- handlas av verksamhetsutövaren i uppkopplade informationssystem. Samtidigt följer av 5 § förvaltningslagen (2017:900) att beslut om förbud får fattas bara om det är proportionerligt. En proportionali- tetsbedömning ska göras i varje enskilt fall. Bedömningen ska bl.a. avse om det önskade resultatet kan uppnås på något annat och mindre ingripande sätt och om det avsedda resultatet står i rimligt för- hållande till de olägenheter som kan antas uppstå för den som åtgär- den riktas mot. Av kravet på proportionalitet följer att möjligheten att förbjuda verksamhetsutövaren att genomföra ett visst förfarande ska användas restriktivt.
6 kap.
3 § Tillsynsmyndigheten har i den omfattning som det behövs för tillsynen rätt att få tillgång till informationssystem och tillträde till om- råden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.
4 § Tillsynsmyndigheten får besluta att förelägga den som står under tillsyn att tillhandahålla information och ge tillgång eller tillträde enligt 2 och 3 §§. Ett sådant beslut om föreläggande får förenas med vite.
Övervägandena finns i kapitel 14.
De av regeringen i proposition 2020/21:194 föreslagna paragra- ferna reglerar tillsynsmyndighetens rätt att få tillträde till områden, lokaler och andra utrymmen samt möjlighet att besluta föreläggan-
500
SOU 2021:63 |
Författningskommentar |
den om information och tillträde (6 kap. 3 och 4 §§ säkerhetsskydds- lagen).
Ändringarna innebär att tillsynsmyndigheten dels ges en ny undersökningsbefogenhet som innebär rätt att få tillgång till själva informationssystemet, dels får möjlighet att förelägga den som står under tillsyn att ge sådan tillgång.
Som utgångspunkt ska tillsynsmyndigheten i första hand försöka få verksamhetsutövaren att frivillig ge myndigheten tillgång till in- formationssystemet. För att tillsynsmyndigheten ska ha rätt att få tillgång till informationssystem krävs att systemet används i verks- amhet som omfattas av tillsyn enligt 6 kap. 1 § och att informations- tillgången behövs för tillsynen. Rätten motsvaras av en skyldighet för den som står under tillsyn att tillhandahålla det begärda tillträdet. Det intrång som tillgången innebär måste stå i proportion till be- hovet av tillsynsåtgärden. Tillgångsrätten ger inte tillsynsmyndig- heten rätt att bereda sig tillgång med tvång. Om den som står under tillsyn inte samarbetar kan dock tillsynsmyndigheten förelägga denna att ge tillgång vid äventyr av vite och i sista hand begära handräck- ning av Kronofogdemyndigheten. Om ett föreläggande förenas med vite är lagen (1985:206) om viten tillämplig.
7 kap.
2 a § Samrådsmyndigheten får besluta att ta ut en sanktionsavgift av en verksamhetsutövare som
1.har åsidosatt sin skyldighet enligt 3 a kap. 2 § första och andra stycket,
2.har driftsatt eller förändrat ett informationssystem i strid med ett förbud som har meddelats med stöd av 3 a kap. 5 §, eller
3.har lämnat oriktiga uppgifter i samband med samråd enligt 3 a kap.
2 §.
Övervägandena finns i kapitel 13.
Paragrafen, som är ny, reglerar uttömmande vid vilka överträ- delser samrådsmyndigheten får ta ut en sanktionsavgift av en verk- samhetsutövare, nämligen i fall samrådsskyldigheten åsidosatts, med- delat förbud inte respekteras samt då oriktiga uppgifter lämnats vid samrådet.
501
Författningskommentar |
SOU 2021:63 |
Det är inte obligatoriskt att ta ut sanktionsavgift när en över- trädelse har konstaterats, utan det är samrådsmyndigheten som av- gör om en avgift ska tas ut i det enskilda fallet. De omständigheter som särskilt ska beaktas vid den bedömningen anges i 7 kap. 3 § säker- hetsskyddslagen. Också statliga myndigheter, kommuner och regio- ner kan påföras sanktionsavgift.
Innan samrådsmyndigheten tar ut en sanktionsavgift ska verksam- hetsutövaren ges tillfälle att yttra sig. Detta följer av förvaltningslagen.
9 § En sanktionsavgift ska betalas till samråds- eller tillsynsmyndig- heten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske en- ligt utsökningsbalken.
En sanktionsavgift tillfaller staten.
Övervägandena finns i kapitel 13.
Paragrafen innehåller bestämmelser om betalning och indrivning av sanktionsavgifter.
Ändringen i första stycket innebär att det som anges där om betal- ning till tillsynsmyndigheten också, i tillämpliga fall, gäller i förhål- lande till samrådsmyndigheten.
8 kap.
4 § Beslut om föreläggande enligt 3 a kap. 2 §, 4 kap. 9 och 15 §§ och 6 kap. 4 och 6 §§ eller sanktionsavgift enligt 7 kap. 1, 2 och 2 a §§ eller beslut om förbud enligt 3 a kap. 5 § får överklagas till Förvalt- ningsrätten i Stockholm. När ett sådant beslut överklagas är samråds- eller tillsynsmyndigheten motpart. Prövningstillstånd krävs vid över- klagande till kammarrätten.
Beslut om förbud enligt 4 kap. 11, 17 och 18 §§ och föreläggande enligt 4 kap. 12 och 19 §§ får överklagas till regeringen.
Andra beslut enligt denna lag får inte överklagas.
502
SOU 2021:63 |
Författningskommentar |
Övervägandena finns i kapitel 15.
Paragrafen innehåller bestämmelser om överklagande. Ändringen i första stycket innebär att även samrådsmyndighetens
beslut om föreläggande under samråd samt om förbud eller sank- tionsavgift får överklagas till Förvaltningsrätten i Stockholm och att samrådsmyndigheten är motpart när sådana beslut överklagas.
Ikraftträdande
1.Denna lag träder i kraft den 1 juli 2022.
2.Äldre föreskrifter gäller fortfarande för ärenden om samråd som har inletts före ikraftträdandet.
3.En sanktionsavgift enligt 7 kap. 2 a § får beslutas endast för över- trädelser som skett efter ikraftträdandet.
Eftersom de föreslagna lagändringarna är mycket angelägna bör för- slagen, även med beaktande av att ett skyndsamt ikraftträdande ger berörda aktörer en relativt kort tid att förbereda sig, träda i kraft så snart som möjligt. Med hänsyn till den tid som de olika leden i lag- stiftningsprocessen kan förväntas ta, anser utredningen att ett ikraft- trädande är möjligt tidigast den 1 juli 2022.
Punkt 1 föreskriver att lagen träder i kraft den 1 juli 2022. De föreslagna bestämmelserna om skyldigheter vid driftsättning av in- formationssystem bör inte ges retroaktiv verkan för sådana system som tagits i drift före ikraftträdandet.
Enligt punkt 2 gäller äldre föreskrifter fortfarande för ärenden om samråd som har inletts före ikraftträdandet. Det innebär att ärenden om samråd i samband med driftsättningar och väsentliga föränd- ringar av informationssystem som har inletts före ikraftträdandet handläggs enligt äldre föreskrifter.
Enligt punkt 3 får en sanktionsavgift beslutas av samrådsmyndig- heten endast för överträdelser som har skett efter ikraftträdandet.
503
Referenser
Offentliga tryck
Propositioner
Prop. 2020/21:186, Kompletterande bestämmelser till EU:s cybersäkerhetsakt.
Prop. 2020/21:30, Totalförsvar
Prop. 2020/21:1, Budgetproposition för 2021, utg.omr. 6.
Prop. 2017/18:205, Informationssäkerhet för samhällsviktiga och digitala tjänster.
Prop. 2017/18:1, Budgetproposition för 2018, utg.omr. 2.
Prop. 2017/18:89, Ett modernt och stärkt skydd för Sveriges säkerhet
–ny säkerhetsskyddslag.
Skrivelser
Statsrådsberedningen (2017): Nationell säkerhetsstrategi.
Skr. 2017/18:47, Hur Sverige blir bäst i världen på att använda digitaliseringens möjligheter – en skrivelse om politikens inriktning.
Skr. 2016/17:213, Nationell strategi för samhällets informations- och cybersäkerhet.
Lagrådsremisser
Regeringens lagrådsremiss
505
Referenser |
SOU 2021:63 |
Statens offentliga utredningar
SOU 2021:25 Struktur för ökad motståndskraft.
SOU 2021:1 Säker och kostnadseffektiv
SOU 2020:25 EU:s cybersäkerhetsakt – kompletterande nationella bestämmelser om cybersäkerhetscertifiering.
SOU 2018:82 Kompletteringar till den nya säkerhetsskyddslagen. SOU 2018:25 Juridik som stöd för förvaltningens digitalisering. SOU 2017:114
SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster.
SOU 2017:23 digitalforvaltning.nu. SOU 2016:89 För digitalisering i tiden.
SOU 2016:85 Digitaliseringens effekter på individ och samhälle
–fyra temarapporter.
SOU 2015:91 Digitaliseringens transformerande kraft – vägval för framtiden.
SOU 2015:65 Om Sverige i framtiden – en antologi om digitaliseringens möjligheter.
SOU 2015:28 Gör Sverige i framtiden – digital kompetens. SOU 2015:25 En ny säkerhetsskyddslag.
SOU 2015:23 Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten.
SOU 2014:13 En digital agenda i människans tjänst – en ljusnande framtid kan bli vår.
SOU 2013:31 En digital agenda i människans tjänst – Sveriges digitala ekosystem, dess aktörer och drivkrafter.
SOU 2010:25 Översyn av verksamhet och organisation på informationssäkerhetsområdet.
506
SOU 2021:63 |
Referenser |
Departementspromemorior
Ds 2019:8 Värnkraft: Inriktningen av säkerhetspolitiken och utformningen av det militära försvaret
Ds 2018:6 Granskning av Transportstyrelsens upphandling av
Ds 2017:66 Motståndskraft: Inriktningen av totalförsvaret och utformningen av det civila försvaret
Rapporter
Digitaliseringsrådet (2018): En lägesbild av digital ledning.
Ekonomistyrningsverket (2018): Digitalisering av det offentliga Sverige.
Enisa (2021): SECURITY IN 5G SPECIFICATIONS – Controls in 3GPP Security Specifications (5G SA).
FOI (2020): Vilse i lasagnen? En upptäcktsfärd i den svenska Digitaliseringens mångbottnade problemstruktur
Försvarets radioanstalts årsrapport 2016.
Högskolan i Skövde (2017): Länsstyrelsernas förutsättningar att stödja kommuner gällande informationssäkerhet.
IT & Telekomföretagens (2020):
Knowit (2020): Övergripande studie av offentlig
Kommerskollegiums rapport The Cyber Effect – the implications of IT security regulation on international trade (2018).
Kungl. Ingenjörsvetenskapsakademin (2019): Digitalisering
för ökad konkurrenskraft.
Myndigheten för samhällsskydd och beredskap (2021): En struktur för uppföljning av det systematiska
Myndigheten för samhällsskydd och beredskap, m.fl. (2021): Samlad informations- och cybersäkerhetshandlingsplan
507
Referenser |
SOU 2021:63 |
Myndigheten för samhällsskydd och beredskap (2020): Statliga myndigheters
Myndigheten för digital förvaltning (2019): Myndigheters digitala mognad och
Myndigheten för samhällsskydd och beredskap (2017): Bevakningsansvariga myndigheters informations- och cybersäkerhet.
Myndigheten för samhällsskydd och beredskap (2016): Nationell handlingsplan för samhällets informationssäkerhet.
Myndigheten för samhällsskydd och beredskap (2016): Informationssäkerheten i Sveriges kommuner – Analys och rekommendationer utifrån MSB:s kommunenkät 2015.
Myndigheten för samhällsskydd och beredskap (2015): En bild av kommunernas informationssäkerhetsarbete 2015.
Myndigheten för samhällsskydd och beredskap (2014): En bild
av myndigheternas informationssäkerhetsarbete 2014 – tillämpning av MSB:s föreskrifter.
PricewaterhouseCoopers (2020): Cyberhoten mot Sverige 2019 – En undersökning om hur 100 större svenska bolag ser på cyberbrott nu och i ett framtidsperspektiv.
Riksrevisionen (2019): Föråldrade
Riksrevisionen (2016): Informationssäkerhetsarbete på nio myndigheter – En andra granskning av informationssäkerheten
istaten, (RiR 2016:8).
Riksrevisionen (2014): Informationssäkerheten i den civila statsförvaltningen, (RIR 2014:23).
Sveriges Kommuner och Regioner (2019): Kommunernas informationssäkerhetsarbete – en övergripande kartläggning av kommunernas systematiska informationssäkerhetsarbete.
Säkerhetspolisen (2019): Vägledning i säkerhetsskydd
–Informationssäkerhet.
Säkerhetspolisen (2017): Säkerhetsskydd hos myndigheter med mest skyddsvärd verksamhet, Säkerhetspolisens offentliga redovisning till regeringen
508
SOU 2021:63 |
Referenser |
Säkerhetspolisens årsbok 2016.
Vetenskapsrådet (2018): Att motverka överbelastning av samhälls- viktiga webbplatser Slutrapport 2018 från projekt Särimner.
Teknikföretagen (2019): CYBERHOTEN – Så ser hotbilden och attackerna ut mot svenska teknikföretag.
Unitalent AB (2020): Cybersäkerhet – En kartläggning av Sveriges nuläge 2020 och framtidsutsikter för branschen.
Vetenskapsrådet (2018): Vetenskapsrådets guide till infrastrukturen.
Vinnova (2018): Artificiell intelligens i svenskt näringsliv och samhälle – Analys av utveckling och potential, (slutrapport).
Övrigt
Finska regeringens proposition (RP 98/2020 rd) till riksdagen med förslag till lagar om ändring av lagen om tjänster inom elektronisk kommunikation och av vissa lagar som har samband med den.
Försvarsmakten (2013): Handbok Försvarsmaktens säkerhetstjänst, Informationssäkerhet, H Säk Infosäk.
ITU (2018): Global Cybersecurity Index (GCI).
OECD (2019): Digital Government Index, resultat för 2019.
OECD (2019): Digital Government Review of Sweden – Towards a
Säkerhetspolisen Hotbild mot säkerhetskänslig verksamhet, 2019. Säkerhetspolisens Vägledning i säkerhetsskydd Fysisk säkerhet, 2020.
Säkerhetspolisens Vägledning i säkerhetsskydd, Informations- säkerhet, 2020.
Säkerhetspolisens Vägledning i säkerhetsskydd – Introduktion till säkerhetsskydd, 2019.
Säkerhetspolisens Vägledning i säkerhetsskydd – Säkerhetsskydds- analys, 2019.
509
Bilaga 1
Kommittédirektiv 2019:73
Cybersäkerhet – genomförandet av cybersäkerhetsakten och vissa åtgärder till skydd för säkerhetskänslig verksamhet
Beslut vid regeringssammanträde den 31 oktober 2019
Sammanfattning
En särskild utredare ska föreslå de anpassningar och kompletterande författningsbestämmelser som cybersäkerhetsakten ger anledning till. Syftet är att säkerställa att den kompletterande nationella reglering som behövs finns på plats när hela förordningen börjar tillämpas den 28 juni 2021. Utredaren ska också överväga om det finns anledning att införa ytterligare krav för att skydda verksamheter som är av bety- delse för Sveriges säkerhet.
Utredaren ska bl.a.
•undersöka vilka kompletterande nationella föreskrifter, exempel- vis processuella bestämmelser och bestämmelser om sanktioner, som förordningen kräver eller Sverige bör införa,
•föreslå vilken befintlig myndighet som ska få i uppdrag att vara tillsynsmyndighet,
•analysera om, och i så fall föreslå vilka kompletterande bestäm- melser som bör införas dels om självbedömning av överensstäm- melse med de krav som ställs i certifieringsordningar och dels om organ för bedömning av överensstämmelse i den svenska regler- ingen,
511
Bilaga 1 |
SOU 2021:63 |
•bedöma om det bör införas krav på certifiering och godkännande av vissa produkter, tjänster och processer som ska användas i verk- samheter som är av betydelse för Sveriges säkerhet och föreslå hur ett sådant system skulle kunna utformas, och
•lämna sådana författningsförslag som i övrigt behövs och är lämp- liga.
Uppdraget ska i den del som avser anpassningar med anledning av
Den nya regleringen – cybersäkerhetsakten
Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommuni- kationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) trädde i kraft den 27 juni 2019. Förordningen började tillämpas direkt med undantag för vissa artiklar som kräver kompletterande bestämmelser på nationell nivå och som därför ska börja tillämpas först den 28 juni 2021. Det huvudsakliga syftet med förordningen är att säkerställa en väl fungerande inre marknad och samtidigt sträva efter att uppnå en hög nivå i fråga om cybersäkerhet, cyberresiliens och förtroende inom unionen.
Förordningen är uppdelad i två delar. Den första delen gäller fast- ställandet av mål, uppgifter och organisatoriska frågor som rör Enisa. Denna del kräver enligt regeringens bedömning ingen särskild kompletterande nationell reglering från medlemsstaternas sida. Den andra delen reglerar fastställandet av ett europeiskt ramverk för cyber- säkerhetscertifiering. Syftet är att säkerställa en tillfredsställande nivå
ifråga om cybersäkerhet för informations- och kommunikations- teknik (IKT) i unionen samt att undvika en fragmentering av den inre marknaden när det gäller certifieringsordningar i unionen. Ska- pandet av europeiska ordningar för cybersäkerhetscertifiering kom- mer att medföra att certifikat som utfärdas enligt dessa certifierings- ordningar blir giltiga och erkända i alla medlemsstater. Förutom att beskriva de säkerhetsmålsättningar som ska beaktas i utformningen
512
SOU 2021:63 |
Bilaga 1 |
av de europeiska ordningarna för cybersäkerhetscertifieringar, anger förordningen vad minimiinnehållet i sådana ordningar bör vara. För- ordningen anger också väsentliga funktioner och uppgifter för Enisa inom cybersäkerhetscertifiering. Kommissionen kommer att utarbeta löpande arbetsprogram för europeisk cybersäkerhetscertifiering där det fastställs strategiska prioriteringar för framtida europeiska ord- ningar för cybersäkerhetscertifiering. De europeiska certifieringsord- ningarna kommer sedan att utarbetas av Enisa, med hjälp av expertråd och i nära samarbete med den europeiska gruppen för cybersäker- hetscertifiering (ECCG), som också har inrättats genom förord- ningen. Gruppens uppgifter regleras i förordningen och består bl.a. i att ge råd till och bistå kommissionen vad gäller cybersäkerhets- certifiering och utarbetande av de europeiska ordningarna för cyber- säkerhetscertifiering. En annan uppgift för gruppen är att underlätta anpassningen av de europeiska ordningarna till internationellt erkända standarder och att, där så är lämpligt, lämna rekommendationer till Enisa om att samarbeta med relevanta internationella standardiser- ingsorganisationer för att åtgärda brister eller luckor i de befintliga internationellt erkända standarderna. Kommissionen ska, med stöd från Enisa, vara ordförande i gruppen. Kommissionen antar sedan de europeiska ordningarna för cybercertifiering genom genomförande- akter.
En europeisk ordning för cybersäkerhetscertifiering får innehålla en eller flera av följande assuransnivåer för
513
Bilaga 1 |
SOU 2021:63 |
denter och cyberattacker. Den utvärdering som ska göras ska inne- fatta åtminstone en granskning av den tekniska dokumentationen. Om en sådan granskning inte är lämplig ska alternativa utvärder- ingsinsatser med likvärdig effekt utföras. Om en europeisk ordning för cybersäkerhetscertifiering ger möjlighet till självbedömning av överensstämmelse bör det vara tillräckligt att tillverkaren eller leve- rantören har gjort en självbedömning av
Enligt förordningen ska övervakning, tillsyn och verkställighets- uppgifter framför allt ligga hos medlemsstaterna. Medlemsstaterna ska utse en eller flera tillsynsmyndigheter, så kallade nationella myn- digheter för cybersäkerhetscertifiering. Myndigheten eller myndig- heterna kommer bl.a. att få i uppdrag att övervaka och kontrollera organ för bedömning av överensstämmelse, innehavare av europeiska cybersäkerhetscertifikat och utfärdare av en
Förordningens bestämmelser ska inte påverka tillämpningen av särskilda bestämmelser om frivillig eller obligatorisk certifiering i andra unionsrättsakter. Förordningen ska heller inte påverka med- lemsstaternas befogenheter i fråga om verksamhet som berör allmän säkerhet, försvar, nationell säkerhet och statens verksamhet på straff- rättens område. Den delen av förordningen som rör cybersäkerhets- certifiering kommer att kräva anpassningar och kompletterande för- fattningsbestämmelser på nationell nivå.
514
SOU 2021:63 |
Bilaga 1 |
Uppdraget att genomföra EU:s cybersäkerhetsakt
Allmänna riktlinjer för uppdraget
Cybersäkerhetsakten kommer att reglera den cybersäkerhetscerti- fiering som följer av en europeisk certifieringsordning för cybersäker- hetscertifiering som fastställts av kommissionen. I dag bestämmer en producent själv om en produkt, tjänst eller process ska certifieras och i så fall vilket certifieringsorgan som ska utföra certifieringen. Utgångspunkten kommer att vara att certifieringen även i framtiden ska vara frivillig, oavsett om en europeisk ordning för cybersäker- hetscertifiering finns på plats eller inte. Detta är dock upp till varje medlemsstat att bestämma. Den största skillnaden är att när en sådan europeisk ordning för cybersäkerhetscertifiering finns på plats, får inte längre nationella cybersäkerhetscertifieringar utföras inom det område som täcks av den europeiska ordningen för cybersäkerhets- certifiering. Förordningen innebär också att när en europeisk ordning för cybersäkerhetscertifiering ska användas reglerar förordningen vilka krav som ställs på certifieringen, certifieringsorganen och de leverantörer och producenter som innehar ett sådant certifikat. Det finns därför ett behov av att ta fram en nationell reglering som kom- pletterar förordningen.
Utredaren ska därför
•lämna förslag till författningsbestämmelser som kompletterar cybersäkerhetsakten.
Vilken myndighet ska vara nationell myndighet för cybersäkerhetscertifiering?
Cybersäkerhetsakten föreskriver att varje medlemsstat ska utse en eller flera nationella myndigheter för cybersäkerhetscertifiering på sitt territorium som ansvariga för tillsynsuppgifterna. Alternativt kan medlemsstaten, efter överenskommelse med en annan medlemsstat, utse en eller flera nationella myndigheter för cybersäkerhetscerti- fiering som är etablerade i denna andra medlemsstat (artikel 58).
Flertalet av cybersäkerhetsaktens bestämmelser om nationella myndigheter för cybersäkerhetscertifiering gäller direkt och medför inga krav på eller behov av kompletterande nationella bestämmelser. Medlemsstaterna ska dock underrätta kommissionen om vilka myn-
515
Bilaga 1 |
SOU 2021:63 |
digheter som utsetts och, om fler än en myndighet utsetts, vilka upp- gifter de olika myndigheterna ska ha. Myndigheterna kommer bl.a. även att ha en roll när det gäller utfärdandet av europeiska cyber- säkerhetscertifikat (på nivån ”hög”), och då måste medlemsstaterna säkerställa att denna verksamhet är avskild från uppgifterna som myndigheten ska utföra som tillsynsmyndighet och att den utförs av oberoende enheter.
Vissa andra frågor är i och för sig reglerade i förordningen men tillåter ytterligare nationell reglering. Detta gäller exempelvis regler- ingen om tillsynsmyndighetens befogenheter i artikel 58.8. Det är vidare upp till medlemsstaterna att inom vissa angivna ramar reglera bl.a. tillsynsmyndighetens organisation och se till att myndigheten har tillräckliga resurser.
Vid tillsynsmyndigheten kommer det att samlas känslig informa- tion om cybersäkerheten i vissa produkter, tjänster och processer eftersom myndigheten kommer att ha ett särskilt ansvar för utfär- dande av certifikat enligt den högsta assuransnivån. Det är därför viktigt att myndigheten har personal med erfarenhet av och förmåga att bedöma och hantera uppgifter enligt de krav som ställs i offent- lighets- och sekretesslagen (2009:400) och säkerhetsskyddslagen (2018:585). Sveriges certifieringsorgan för
Styrelsen för ackreditering och teknisk kontroll (Swedac) har i dag vissa av de uppgifter som den nationella myndigheten för cyber- säkerhetscertifiering ska ha. Enligt sin instruktion ska Swedac bl.a. ansvara för frågor om teknisk kontroll, vilket inkluderar ackrediter- ing och frågor i övrigt om bedömning av överensstämmelse. Swedac ska särskilt ansvara för ordningar för bedömning av överensstäm- melse/teknisk provning och kontroll. Detta inbegriper att i EU, inter- nationellt och nationellt verka för öppna och harmoniserade tekniska kontrollordningar, ackrediteringssystem och normer för ömsesidigt godtagande av resultat från provningar, certifieringar och andra bevis om överensstämmelse som undanröjer tekniska handelshinder samt upprätthålla och vidareutveckla öppna, kostnadseffektiva och behovs- anpassade ordningar för teknisk kontroll och bedömning av överens- stämmelse. Swedac är även nationellt ackrediteringsorgan i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/2008
516
SOU 2021:63 |
Bilaga 1 |
av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förord- ning (EEG) nr 339/93 och anmäler och utövar tillsyn över organ som enligt lagen (2011:791) om ackreditering och teknisk kontroll ska an- mälas för uppgifter i samband med bedömning av överensstämmelse enligt bestämmelser som gäller inom EU.
För att undvika att den nationella myndigheten för cybersäker- hetscertifiering tilldelas uppgifter som redan utförs av Swedac bör utredaren kartlägga hur förhållandet mellan den nationella myndig- heten för cybersäkerhetscertifiering och Swedac ska se ut, i vilka fall de två myndigheterna ska samarbeta och vilket behov av komplet- terande nationella bestämmelser som behövs. Det är viktigt att ut- redaren i detta arbete beaktar de kostnader, den tid och andra aspek- ter som en dubbel granskning av såväl Swedac som den nationella tillsynsmyndigheten kommer att innebära för den som blir granskad.
Utredaren ska därför
•föreslå vilken befintlig myndighet som ska få i uppdrag att vara nationell tillsynsmyndighet för cybersäkerhetscertifiering,
•ta ställning till hur myndighetens organisation påverkas,
•kartlägga vilket förhållande den nationella myndigheten för cyber- säkerhetscertifiering ska ha till Swedac och hur uppgifterna ska för- delas dem emellan för att undvika såväl överlappande granskningar som luckor i tillsynen, samt
•utarbeta nödvändiga kompletterande författningsförslag, inklusive om de befogenheter som den nationella myndigheten för cyber- säkerhetscertifiering ska tilldelas, i syfte att myndigheten ska kunna utföra de uppgifter som följer av förordningen.
Ska det införas kompletterande bestämmelser om sanktioner?
Cybersäkerhetsakten innehåller i artikel 65 bestämmelser om att med- lemsstaterna ska fastställa regler om sanktioner vid överträdelser av den delen av förordningen som reglerar ett ramverk för cybersäker- hetscertifiering och för överträdelser av europeiska ordningar för cybersäkerhetscertifiering. Medlemsstaterna ska också vidta alla nöd- vändiga åtgärder för att se till att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. I artikel 58.8 finns en
517
Bilaga 1 |
SOU 2021:63 |
lista över de befogenheter som de nationella myndigheterna för cyber- säkerhetscertifiering måste ha. I punkt f anges att myndigheterna ska utdöma sanktioner i enlighet med nationell rätt och kräva att över- trädelser av skyldigheterna i förordningen omedelbart upphör. Med- lemsstaterna ska vidare enligt artikel 65 anmäla dessa regler och åt- gärder samt eventuella ändringar som berör dem till kommissionen utan dröjsmål. I förordningen saknas dock närmare bestämmelser om hur detta ska gå till och vilka som ska kunna drabbas av sank- tioner. Till detta kommer också att det föreslagna systemet är fri- villigt. Om sanktionerna för att bryta mot ett system som inte är obligatoriskt är för långtgående finns det risk för att aktörer inte kommer att använda sig av den europeiska cybersäkerhetscertifier- ingen eller att de vänder sig till länder med mildare sanktionssystem. Samtidigt får det europeiska systemet inte bli tandlöst för dem som trots allt väljer att använda sig av det. Det finns därför behov av att analysera och ta ställning till i vilken utsträckning överträdelser av förordningen bör bli föremål för sanktioner i Sverige.
Utredaren ska därför
•analysera vilka kompletterande bestämmelser om sanktioner som Sverige behöver eller bör införa,
•lämna sådana författningsförslag som behövs och är lämpliga.
Processuella frågor och rätten att klaga
Av artikel 58.8 i förordningen framgår det att utövandet av tillsyns- myndighetens befogenheter ska vara föremål för lämpliga skydds- åtgärder, bl.a. effektiva rättsmedel. Enligt artikel 58.8 d ska tillsyns- myndigheten ha befogenhet att få tillgång till lokaler hos organ för bedömning av överensstämmelse eller hos innehavare av ett europeiskt cybersäkerhetscertifikat i enlighet med unionsrätten eller nationell processrätt. Fysiska och juridiska personer ska, enligt förordningen, ha rätt att lämna in klagomål till utfärdaren av ett europeiskt cybersäker- hetscertifikat eller, när klagomålet rör ett europeiskt cybersäkerhetscerti- fikat som utfärdats av ett organ för bedömning av överensstämmelse, till den behöriga nationella myndigheten för cybersäkerhetscertifiering (artikel 63.1). Vidare ska fysiska och juridiska personer ha rätt till ett effektivt rättsmedel mot den myndighet eller de organ som nämnts ovan och som fattat ett beslut, och när det gäller underlåtenhet att
518
SOU 2021:63 |
Bilaga 1 |
vidta åtgärder med anledning av ett klagomål som lämnats in till myndigheten eller organet (artikel 64.1). Detta torde för svensk del bäst tillgodoses genom en rätt för enskilda att överklaga tillsyns- myndighetens beslut till allmän förvaltningsdomstol.
Behovet av kompletterande nationella bestämmelser i de ovanstå- ende frågorna behöver bli föremål för närmare analys.
Utredaren ska därför
•analysera i vilken utsträckning det behövs kompletterande be- stämmelser om utövandet av tillsynsmyndighetens befogenheter,
•ta ställning till i vilken utsträckning det behövs kompletterande bestämmelser om de rättsmedel för enskilda som regleras i för- ordningen, och
•lämna sådana författningsförslag som behövs och är lämpliga.
Hur ska förordningens bestämmelser om organ
för bedömning av överensstämmelse och självbedömning av överensstämmelse genomföras?
Förordningen reglerar även organ för bedömning av överensstäm- melse, som bl.a. kan utfärda europeiska cybersäkerhetscertifikat. I bilagan till förordningen finns närmare bestämmelser med krav på dessa organ, bl.a. om upprätthållande av konfidentialitet och tystnads- plikt. Organen för bedömning av överensstämmelse ska ackrediteras av det nationella ackrediteringsorganet – i Sveriges fall är det Swedac. I fall där ett europeiskt cybersäkerhetscertifikat utfärdas av en natio- nell myndighet för cybersäkerhetscertifiering ska certifieringsorga- net hos den nationella myndigheten för cybersäkerhetscertifiering ackrediteras som organ för bedömning av överensstämmelse.
En europeisk ordning för cybersäkerhetscertifiering kan också ge tillverkare eller leverantörer möjlighet att göra en självbedömning av överensstämmelse. Detta tillåts endast i förhållande till produkter, tjänster och processer där de uppfyllda säkerhetskraven är ställda på en lägre nivå. I förordningen finns bestämmelser om hur detta ska gå till (artikel 53). Där anges också att detta är frivilligt att utfärda, om inte annat anges i unionsrätten eller i medlemsstaternas natio- nella rätt.
519
Bilaga 1 |
SOU 2021:63 |
Utredaren ska därför
•föreslå hur bestämmelserna om kraven på organen för överens- stämmelse ska genomföras,
•analysera om nuvarande sekretessbestämmelser för offentliga organ och bestämmelser om tystnadsplikt för privata aktörer behöver anpassas eller ny lagstiftning föreslås, med anledning av förord- ningens reglering om tystnadsplikt och konfidentialitet hos orga- nen för överensstämmelse, och
•lämna sådana författningsförslag som behövs och är lämpliga.
Frivillighet
Cybersäkerhetscertifieringen ska enligt förordningen vara frivillig, om inte annat anges i unionsrätten eller i medlemsstaternas natio- nella rätt (artikel 56.2). Förordningen ger dock kommissionen i upp- drag att regelbundet bedöma effektiviteten hos och användningen av de antagna europeiska ordningarna för cybersäkerhetscertifiering och huruvida en specifik europeisk ordning för cybersäkerhetscertifier- ing ska göras obligatorisk genom unionsrätten i syfte att säkerställa en adekvat cybersäkerhetsnivå och förbättra den inre marknadens funktion. Den första bedömningen ska göras senast den 31 december 2023, och efterföljande bedömningar ska göras minst en gång vart- annat år. Kommissionen ska sedan på grundval av bedömningen fast- ställa om produkter, tjänster eller processer ska omfattas av en obli- gatorisk certifieringsordning.
Som tidigare nämnts upphör de nationella ordningarna för cyber- säkerhetscertifiering och tillhörande förfaranden att gälla så fort det finns europeiska motsvarigheter. Befintliga certifikat kommer dock att förbli giltiga till dess att de löper ut. Medlemsstaterna förbinder sig också att inte införa nya nationella ordningar, som omfattas av en befintlig europeisk ordning för cybersäkerhetscertifiering, och ska meddela kommissionen och ECCG om alla avsikter att utarbeta nya nationella ordningar för cybersäkerhetscertifiering. Detta regleras i för- ordningen och kommer att påverka såväl innehavare av befintliga certifikat som de certifieringsorgan som i dag utfärdar certifikat enligt andra ordningar. Verksamheter måste anpassas till det nya systemet,
520
SOU 2021:63 |
Bilaga 1 |
och branschen måste hålla sig uppdaterad om de förslag till euro- peiska ordningar för cybersäkerhetscertifiering som utarbetas.
Utredaren ska därför
•hålla sig uppdaterad om hur arbetet med att utarbeta europeiska ordningar för cybersäkerhetscertifiering fortgår, och
•lämna sådana författningsförslag som behövs och är lämpliga.
Certifiering på den högsta assuransnivån
I Sverige finns i dag vid Försvarets materielverk ett nationellt certi- fieringsorgan för
CCRA och
521
Bilaga 1 |
SOU 2021:63 |
förhandsgodkännande av varje enskilt europeiskt cybersäkerhets- certifikat.
Utredaren ska därför
•föreslå hur certifiering på assuransnivån ”hög” ska genomföras i
Sverige och utreda om detta kan och bör regleras genom författ- ning. Utredaren ska ha som utgångspunkt att CSEC ska ha en roll då det gäller denna typ av certifiering.
Uppdraget att överväga om det bör införas krav på certifiering och godkännande till skydd för Sveriges säkerhet
Särskilda krav på säkerhet måste kunna ställas på nät- och informa- tionssäkerhet för att skydda nationell säkerhet. Åtgärder för att skydda nationell säkerhet faller utanför EU:s kompetens (art. 4.2
Säkerhetsskyddslagen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som om- fattas av ett för Sverige förpliktande internationellt åtagande om säker- hetsskydd (säkerhetskänslig verksamhet). För informationssystem som används i eller har betydelse för säkerhetskänslig verksamhet finns särskilda krav i säkerhetsskyddsförordningen (2018:658). Det rör sig dels om förberedande åtgärder inför driftsättning av sådana informationssystem, dels om säkerhetskrav som kontinuerligt ställs på informationssystemen. Bestämmelserna innehåller även krav på samråd med Säkerhetspolisen eller Försvarsmakten i vissa fall. Detta gäller för informationssystem som kan komma att behandla säkerhets- skyddsklassificerade uppgifter av visst slag och informationssystem där obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig. Bestämmelserna innebär att det är verksamhetsutövaren som ansvarar för att se till att informations- systemen upprätthåller kraven på informationssäkerhet.
Det finns anledning att överväga om ytterligare krav bör införas för att säkerställa att nätverks- och informationssystem som ska an- vändas i säkerhetskänslig verksamhet uppfyller de krav som behövs
522
SOU 2021:63 |
Bilaga 1 |
för att upprätthålla skyddet av sådana verksamheter. En möjlighet kan vara att införa krav på att produkter, tjänster och processer inom nätverks- och informationssystem som ska användas i säkerhetskäns- lig verksamhet ska vara certifierade enligt särskilda certifieringsord- ningar som ställer krav anpassade för användning i säkerhetskänslig verksamhet. En kompletterande eller alternativ möjlighet är att in- föra krav på godkännande från en utpekad myndighet innan en sådan produkt, tjänst eller process tas i drift i säkerhetskänslig verksamhet.
Utredaren ska därför:
•bedöma om det finns anledning att införa särskilda krav på att produkter, tjänster och processer som ingår i ett nätverks- och informationssystem som ska användas i säkerhetskänslig verksam- het, ska vara certifierade enligt särskilda certifieringsordningar ut- formade för säkerhetskänslig verksamhet,
•överväga om det finns anledning att införa krav på godkännande från en myndighet för att sådana produkter, tjänster och pro- cesser ska få tas i drift i viss eller all säkerhetskänslig verksamhet,
•göra en internationell jämförelse av lagstiftning som innebär sär- skilda krav med anledning av nationell säkerhet för produkter, tjänster och processer som ingår i ett nätverks- eller informations- system i länder som utredaren bedömer vara av intresse,
•lämna förslag, förenliga med
•lämna nödvändiga författningsförslag som behövs och är lämpliga.
Utredningen har i denna del att förhålla sig till betänkandet Kom- pletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) som för närvarande bereds i Regeringskansliet.
Övriga frågor
Utredaren är fri att inom de ramar som anges i de allmänna riktlin- jerna ta upp och belysa även andra frågeställningar som är relevanta för uppdraget.
523
Bilaga 1 |
SOU 2021:63 |
Om utredaren kommer fram till att det krävs eller är lämpligt med kompletterande nationella bestämmelser i andra delar ska sådana kunna föreslås.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för det allmänna och för enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska särskilt ange konsekvenserna för företag i form av kostnader och ökade administrativa bördor samt personella konsekvenser för berörda myndigheter.
Utredaren ska även beakta de konsekvenser som förordningens genomförande kan få när det gäller internationell handel med tredje- land och erkännande och utfärdande av certifikat och andra åtagan- den som följer av Sveriges medlemskap i bl.a. CCRA.
Kontakter och redovisning av uppdraget
Utredaren ska hålla Regeringskansliet (Försvarsdepartementet) in- formerat om det löpande arbetet.
Vid genomförandet av uppdraget ska utredaren hålla sig informe- rad om och beakta relevant arbete som bedrivs inom Regerings- kansliet (exempelvis arbetet med betänkandet Kompletteringar till den nya säkerhetsskyddslagen, SOU 2018:82), utredningsväsendet och inom EU. Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, också ha en dialog med och inhämta upplysningar från myndigheter, näringslivet och andra som kan vara berörda av de aktuella frågorna.
Uppdraget ska redovisas i den del som avser anpassningar med anledning av
(Försvarsdepartementet)
524
Bilaga 2
Kommittédirektiv 2020:57
Tilläggsdirektiv till
Cybersäkerhetsutredningen (Fö 2019:01)
Beslut vid regeringssammanträde den 14 maj 2020
Förlängd tid för en del av uppdraget
Regeringen beslutade den 31 oktober 2019 kommittédirektiv om att ge en särskild utredare i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser som cybersäkerhetsakten ger anledning till samt att överväga om det finns anledning att införa ytterligare krav för att skydda verksamheter som är av betydelse för Sveriges säkerhet (dir. 2019:73). Enligt direktiven skulle utredaren redovisa den del av uppdraget som avser anpassningar med anledning av cybersäkerhetsakten senast den 1 juni 2020.
Utredningstiden förlängs för en del av uppdraget. Den del av upp- draget som avser anpassningar med anledning av cybersäkerhetsakten ska i stället redovisas senast den 31 augusti 2020.
(Försvarsdepartementet)
525
Bilaga 3
Kommittédirektiv 2021:10
Tilläggsdirektiv till
Cybersäkerhetsutredningen (Fö 2019:01)
Beslut vid regeringssammanträde den 18 februari 2021
Förlängd tid för en del av uppdraget
Regeringen beslutade den 31 oktober 2019 kommittédirektiv om att ge en särskild utredare i uppdrag att föreslå de anpassningar och kom- pletterande författningsbestämmelser som cybersäkerhetsakten ger anledning till samt att överväga om det finns anledning att införa ytterligare krav för att skydda verksamheter som är av betydelse för Sveriges säkerhet (dir. 2019:73). Enligt direktiven skulle den del som avser regler för verksamheter som är av betydelse för Sveriges säker- het redovisas senast den 1 mars 2021.
Utredningstiden förlängs för en del av uppdraget. Den del av upp- draget som avser regler för verksamheter som är av betydelse för Sveriges säkerhet ska i stället redovisas senast den 30 juni 2021.
(Försvarsdepartementet)
527
SOU 2021:63 |
Bilaga 4 |
[Date]
Komm2021/
SWEDISH GOVERNMENT OFFICIAL REPORTS
The Cyber Security Inquiry
Fö 2019:1
Request for information
To [whom it may concern]
(National authority) (Att: Mr./Ms. Xx Yy)
The Swedish Government has appointed Chief Judge Nils Cederstierna as Inquiry Chair to examine the need to strengthen the cybersecurity in information and communication systems (networks) in activities relevant to national security.
Chief Judge Nils Cederstierna is assisted by Mr. Thomas Wallander,
Principal Secretary, and Mr. Patrik Roos, Inquiry Secretary, as well as
Government Advisors and experts from Government Authorities.
The directives to the Inquiry state that it should gather information and examine whether certification of information and communications technology
The directives also state that the Inquiry should gather information and examine regulatory systems in this area in comparable countries. It would be much appreciated if you could assist the Inquiry with information about
1In September 2020 the Inquiry Chair submitted an interim report to the Swedish Government. The report included proposed national provisions on cyber security certification in support of the EU Cybersecurity Act (2019/881). The report (including an English summary) EU:s cybersäkerhetsakt – kompletterande nationella bestämmelser om cybersäkerhet (SOU 2020:58), is available online.
Telephone: +46 8 405 10 00 |
Postal address: SE 103 33 Stockholm529 |
Fax: +46 8 723 11 89 |
Street address: Jakobsgatan 9 |
Web: www.regeringen.se |
Bilaga 4 |
SOU 2021:63 |
regulatory systems in this area in your country. The information that is specifically requested can be found in the attached question compilation.
It would also be much appreciated if we could have the opportunity to ask supplementary questions and discuss the topic at a digital meeting in the near future. The information is of importance for the understanding and analysis of how a regulatory system in the field can be developed. The information will be included in the official report that is to be submitted to the Government. Please be advised that the report is to be submitted no later than 30 June 2021.
The Inquiry appreciate if the information is sent via email
Sincerely,
Nils Cederstierna
Inquiry Chair
Contact information to the Inquiry Secretary: Tel. +46
2 (3)
530
SOU 2021:63 |
Bilaga 4 |
Compilation of questions
1Please provide a short overview of regulatory systems (legislation) and responsible authorities in the field of information security within national security and critical infrastructure.
2Please provide information regarding any special requirements (e.g. requirement for certification and/or approval) for information systems (including networks or
3Please provide information regarding special requirements (e.g. requirement for certification and/or approval) for information systems (including networks or
3 (3)
531
Statens offentliga utredningar 2021
Kronologisk förteckning
1.Säker och kostnadseffektiv
–rättsliga förutsättningar för utkontraktering. I.
2.Krav på kunskaper i svenska och samhällskunskap för svenskt medborgarskap. Ju.
3.Skolbibliotek för bildning och utbildning. U.
4.Informationsöverföring inom vård och omsorg. S.
5.Ett förbättrat system för arbetskrafts- invandring. Ju.
6.God och nära vård. Rätt stöd till psykisk hälsa. S.
7.Förstärkt skydd för väljarna vid röst- mottagningen. Ju.
8.När behovet får styra
–ett tandvårdssystem för en mer jäm lik tandhälsa. Vol. 1 & Vol. 2, bilagor + Sammanfattning (häfte). S.
9.Vem kan man lita på? Enkel och ändamålsenlig användning av betrodda tjänster i den offentliga förvaltningen. I.
10.Radiologiska skador – skadestånd, säkerheter, skadereglering. M.
11.Bättre möjligheter för elever att nå kunskapskraven – aktivt stöd- och elevhälsoarbete samt stärkt utbildning för elever med intellektuell funktions- nedsättning. U.
12.Andra chans för krisande företag
–En ny lag om företagsrekonstruktion. Ju.
13.En teknikneutral grundlags bestämmelse för regeringsbeslut. Ju.
14.Boende på (o)lika villkor
–merkostnader i bostad med särskild service för vuxna enligt LSS. S.
15.Föreningsfrihet och terrorist organisationer. Ju.
16.En väl fungerande ordning för val och beslutsfattande i kommuner och regioner. Fi.
17.Ett moderniserat konsumentskydd. Fi.
18.Bolags rörlighet över gränserna. Volym 1 & 2. Ju.
19.En stärkt försörjningsberedskap för hälso- och sjukvården. Del 1 och 2. S.
20.
21.En klimatanpassad miljöbalk för samtiden och framtiden. M.
22.Hårdare regler för nya nikotin- produkter. S.
23.Stärkt planering för en hållbar utveckling. Fi.
24.Äga avfall
–en del av den cirkulära ekonomin. M.
25.Struktur för ökad motståndskraft. Ju.
26.Använd det som fungerar. M.
27.Ett förbud mot rasistiska organisationer. Ju.
28.Immunitet för utställningsföremål. Ku.
29.Ökade möjligheter att förhindra illegal handel via post. I.
30.Kampen om tiden
–mer tid till lärande. U.
31.Kontroller på väg. I.
32.Papper, poddar och ...
Pliktmateriallagstiftning för ett tryggat källmaterial. U.
33.En tioårig grundskola. Införandet av en ny årskurs 1 i grundskolan, grundsärskolan, specialskolan och sameskolan. U.
34.Börja med barnen! En sammanhållen god och nära vård för barn och unga. S.
35.En stärkt rättsprocess och en ökad lagföring. Ju.
36.Gode män och förvaltare – en över- syn. Ju.
37.Stärkt rätt till personlig assistans. Ökad rättssäkerhet för barn, fler grundläggande behov och tryggare sjukvårdande insatser. S.
38.En ny lag om ordningsvakter m.m. Ju.
39.Ombuds tillgång till vård- och omsorgsuppgifter och förenklad behörighetskontroll inom vården. S.
40.Mervärdesskatt vid inhyrd personal för vård och social omsorg. Fi.
41.VAB för vårdåtgärder i skolan. S.
42.Stärkta åtgärder mot penningtvätt och finansiering av terrorism. Fi.
43.Ett förstärkt skydd mot sexuella kränkningar. Ju.
44.Tillgänglighetsdirektivet. S.
45.En
46.Snabbare lagföring
–ett snabbförfarande i brottmål. Ju.
47.Ett nytt regelverk för bygglov. Del 1 och 2. Fi.
48.I en värld som ställer om.
Sverige utan fossila drivmedel 2040. M.
49.Kommuner mot brott. Ju.
50.Fri hyressättning vid nyproduktion. Ju.
51.Skydd av arter – vårt gemensamma ansvar. Vol. 1 och 2. M.
52.Vilja välja vård och omsorg.
En hållbar kompetensförsörjning inom vård och omsorg om äldre. S.
53.En rättssäker vindkraftsprövning. M.
54.Ändrade regler i medborgarskaps- lagen. Ju.
55.Mikroföretagarkonto
–schabloniserad inkomstbeskattning för de minsta företagen. Fi.
56.Nya regler om utländska föräldraskap och adoption i vissa fall. Ju.
57.Om folkbokföring, samordnings- nummer och identitetsnummer. Fi.
58.Läge och kvalitet i hyressättningen. Ju.
59.Vägen till tillgänglighet – långsiktig, strategisk och i samverkan. S.
60.Förenklingar för mikroföretag och modernisering av bokföringslagen. N.
61.Utvisning på grund av brott – ett skärpt regelverk. Ju.
62.Användning av
63.Sveriges säkerhet
– behov av starkare skydd för nätverks- och informationssystem. Fö.
Statens offentliga utredningar 2021
Systematisk förteckning
Finansdepartementet
En väl fungerande ordning för val och beslutsfattande i kommuner och regioner. [16]
Ett moderniserat konsumentskydd. [17]
Stärkt planering för en hållbar utveckling. [23]
Mervärdesskatt vid inhyrd personal för vård och social omsorg. [40]
Stärkta åtgärder mot penningtvätt och finansiering av terrorism. [42]
Ett nytt regelverk för bygglov. Del 1 och 2. [47]
Mikroföretagarkonto
–schabloniserad inkomstbeskattning för de minsta företagen. [55]
Om folkbokföring, samordningsnummer och identitetsnummer. [57]
Försvarsdepartementet
Sveriges säkerhet
–behov av starkare skydd för nätverks- och informationssystem. [63]
Infrastrukturdepartementet
Säker och kostnadseffektiv
Vem kan man lita på? Enkel och ändamåls enlig användning av betrodda tjänster i den offentliga förvaltningen. [9]
Ökade möjligheter att förhindra illegal handel via post. [29]
Kontroller på väg. [31]
Användning av
Justitiedepartementet
Krav på kunskaper i svenska och samhällskunskap för svenskt medborgarskap. [2]
Ett förbättrat system för arbetskrafts invandring. [5]
Förstärkt skydd för väljarna vid röst- mottagningen. [7]
Andra chans för krisande företag
–En ny lag om företagsrekonstruktion. [12]
En teknikneutral grundlagsbestämmelse för regeringsbeslut. [13]
Föreningsfrihet och terroristorganisationer. [15]
Bolags rörlighet över gränserna. Volym 1 & 2. [18]
Struktur för ökad motståndskraft. [25]
Ett förbud mot rasistiska organisationer. [27]
En stärkt rättsprocess och en ökad lag föring. [35]
Gode män och förvaltare – en översyn. [36]
En ny lag om ordningsvakter m.m. [38]
Ett förstärkt skydd mot sexuella kränkningar. [43]
Snabbare lagföring
–ett snabbförfarande i brottmål. [46] Kommuner mot brott. [49]
Fri hyressättning vid nyproduktion. [50] Ändrade regler i medborgarskapslagen. [54]
Nya regler om utländska föräldraskap och adoption i vissa fall. [56]
Läge och kvalitet i hyressättningen. [58]
Utvisning på grund av brott – ett skärpt regelverk. [61]
Kulturdepartementet
Immunitet för utställningsföremål. [28]
Miljödepartementet
Radiologiska skador – skadestånd, säkerheter, skadereglering. [10]
En klimatanpassad miljöbalk för samtiden och framtiden. [21]
Äga avfall
–en del av den cirkulära ekonomin. [24] Använd det som fungerar. [26]
I en värld som ställer om.
Sverige utan fossila drivmedel 2040. [48]
Skydd av arter – vårt gemensamma ansvar. Vol. 1 och 2. [51]
En rättssäker vindkraftsprövning. [53]
Näringsdepartementet
En
Förenklingar för mikroföretag och modernisering av bokföringslagen. [60]
Socialdepartementet
Informationsöverföring inom vård och omsorg. [4]
God och nära vård. Rätt stöd till psykisk hälsa. [6]
När behovet får styra
–ett tandvårdssystem för en mer jäm lik tandhälsa. Vol. 1 & Vol. 2, bilagor + Sammanfattning (häfte). [8]
Boende på (o)lika villkor – merkostnader i bostad med särskild service för vuxna enligt LSS. [14]
En stärkt försörjningsberedskap för hälso- och sjukvården. Del 1 och 2. [19]
Hårdare regler för nya nikotinprodukter. [22]
Börja med barnen! En sammanhållen god och nära vård för barn och unga. [34]
Stärkt rätt till personlig assistans. Ökad rättssäkerhet för barn, fler grundläggande behov och tryggare sjukvårdande insatser. [37]
Ombuds tillgång till vård- och omsorgsuppgifter och förenklad behörighetskontroll inom vården. [39]
VAB för vårdåtgärder i skolan. [41] Tillgänglighetsdirektivet. [44]
Vilja välja vård och omsorg.
En hållbar kompetensförsörjning inom vård och omsorg om äldre. [52]
Vägen till ökad tillgänglighet – långsiktig, strategisk och i samverkan. [59]
Utbildningsdepartementet
Skolbibliotek för bildning och utbildning. [3]
Bättre möjligheter för elever att nå kunskapskraven – aktivt stöd- och elevhälsoarbete samt stärkt utbildning för elever med intellektuell funktions- nedsättning. [11]
Kampen om tiden
– mer tid till lärande. [30]
Papper, poddar och ...
Pliktmateriallagstiftning för ett tryggat källmaterial. [32]
En tioårig grundskola. Införandet av en ny årskurs 1 i grundskolan, grundsärskolan, specialskolan och sameskolan. [33]
10333 Stockholm Växel
ISBN
Agneta S Öberg
Bild och bildbearbetning:
Bild: Jackie Niam och Luerat Satichob
Omslag: Elanders Sverige AB