Cybersäkerhetsutredningens uppdrag bestod av två delar:
Den första delen redovisades i delbetänkandet EU:s cybersäkerhetsakt – kompletterande nationella bestämmelser om cybersäkerhetscertifiering (SOU 2020:58) som lämnades i september år 2020.
Slutbetänkandet behandlar del 2 i uppdraget och föreslår bland annat ytterligare ändringar i säkerhetsskyddslagen (2018:585).
Cybersäkerhetsutredningen bedömer bland annat att den digitala utvecklingen i samhället visar att det blir allt mer nödvändigt för alla typer av myndigheter, kommuner och regioner, organisationer och företag att arbeta systematiskt med informationssäkerhet och att det krävs att informations- och cybersäkerhet går från att vara en teknikfråga till en strategisk verksamhetsfråga hos verksamhetsutövare. Ledningsfunktioner i olika former av verksamheter behöver ta ett större ansvar för det systematiska arbetet med informations- och cybersäkerhet. För det krävs kunskap och kompetens samt att dessa frågor i högre grad integreras i verksamhetsutövarnas ordinarie styrningsprocesser, t.ex. i system för ledning- och ekonomistyrning.
I korthet går lagförslaget ut på att överföra säkerhetsskyddsförordningens bestämmelser om förberedande åtgärder inför driftsättning av informationssystem till säkerhetsskyddslagen med lite extra reglering.
Enligt lagförslaget ska verksamhetsutövare göra en särskild dokumenterad säkerhetsskyddsbedömning innan man har för avsikt att driftsätta eller väsentligen ändra informationssystem som har betydelse för säkerhetskänslig verksamhet. Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen ska man göra en lämplighetsprövning. Om man kommer fram till att det inte är olämpligt att driftsätta informationssystemet är man skyldig att samråda med SÄPO eller Försvarsmakten (beroende på vilken myndighets tillsynsområde man tillhör – det vanligaste torde vara SÄPO) om informationssystemet klassats som konfidentiell eller högre. Gör man inte det kan samrådsmyndigheten själv inleda samrådet och man kan drabbas av sanktionsavgift för att man inte följt reglerna. Driften av informationssystemet får inte påbörjas förrän det godkänts från säkerhetsskyddssynpunkt av verksamhetsutövaren. Godkännandet ska i sig dokumenteras också. Samrådsmyndigheten får besluta om att driftsättningen eller förändringen av informationssystemet inte får genomföras.
En särskild säkerhetsskyddsbedömning bör kunna ge svar på ett antal frågor:
– hur ska informationssystemet användas och av vem?
– på vilket sätt är informationssystemet av betydelse för säkerhetskänslig verksamhet?
– ska säkerhetsskyddsklassificerade uppgifter behandlas i systemet?
– vilken skada för Sveriges säkerhet kan uppstå om uppgifterna som informationssystemet behandlar röjs?
– ska informationssystemet behandla uppgifter som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd?
– vilken skada för Sveriges säkerhet kan uppstå om uppgifterna som informationssystemet ska behandla görs otillgängliga eller obehörigen förändras?
– hur exponeras informationssystemet mot andra informationssystem?
– vilka säkerhetskrav gäller för informationssystemet?
– vilka säkerhetsskyddsåtgärder behöver införas i och kring informationssystemet?
Det kan noteras att den särskilda säkerhetsskyddsbedömning som ska göras vid driftsättning och väsentlig förändring av informationssystem är mer långtgående än säkerhetsskyddsbedömningarna vid förfarandet som kräver säkerhetsskyddsavtal. Skillnaden är befogad med hänsyn till det särskilt känsliga läge en driftsättning innebär, (s. 462).
Verksamhetsutövaren ska pröva lämpligheten av införandet av ett informationssystem baserat på dess möjliga påverkan på Sveriges säkerhet. Prövningen avser att hantera situationer där introducerandet av ett informationssystem kommer innebära stora risker för Sveriges säkerhet och som inte kan hanteras genom att vidta säkerhetsskyddsåtgärder. Det kan exempelvis röra som om funktioner som:
– kraftigt påverkar samhällets motståndskraft, t.ex. att flera redundanta samhällsviktiga funktioner ersätts av ett informationssystem, och/eller
– sammanställningar av olika datamängder som inte ska vara möjliga att sammanställa (s.k. aggregat-problematik).
Lämplighetsprövningen syftar primärt till att verksamhetsutövaren i ett tidigt skede ska vara tvungen att ta ställning till om digitaliseringen är lämplig med tanke på dess effekt på Sveriges säkerhet. Lämplighetsprövningens största effekt är att i ett tidigt skede få upp frågor gällande Sveriges säkerhet och att tvinga verksamhetsutövaren att ta ställning. Det innebär också, i de fall som digitaliseringen bedöms olämplig, att onödigt utvecklingsarbete inte behöver genomföras.
Så här tänker sig utredningen att processen för driftsättning eller väsentlig förändring av ett informationssystem i säkerhetskänslig verksamhet bör gå till:
1. Behov av nytt informationssystem, digitalisering, (verksamhetsutövaren).
2. Särskild säkerhetsskyddsbedömning (verksamhetsutövaren) (kravställning + lämplighetsprövning).
3. Lämplighetsprövning baserat på informationssystemets möjliga påverkan på Sveriges säkerhet (verksamhetsutövaren).
4. Beslut om utveckling om så bedömts lämpligt (verksamhetsutövaren).
5. Begäran om samråd – inkluderat särskild säkerhetsskyddsbedömning (verksamhetsutövaren).
6. Utveckling (verksamhetsutövaren).
7. Test av säkerhetsskyddsåtgärder (verksamhetsutövaren).
8. Uppdatering av särskild säkerhetsskyddsbedömning skickas till Säkerhetspolisen (verksamhetsutövaren).
9. Samrådsyttrande inklusive förelägganden (Säkerhetspolisen)
10. Hantera förelägganden (verksamhetsutövaren).
11. Meddela Säkerhetspolisen planerat driftsättningsdatum (eventuellt behöver minsta tid från meddelande till driftsättning regleras) (verksamhetsutövaren).
12. Eventuellt förbud (Säkerhetspolisen).
13. Godkännande ur säkerhetsskyddssynpunkt (verksamhetsutövaren).
14. Driftsättning (verksamhetsutövaren).
SÄPO ville egentligen att lämplighetsprövningen skulle ske innan den särskilda säkerhetsskyddsbedömningen men utredningen valde att inte lämna ett sådant förslag. Tillräckliga skäl att avvika från den ordningsföljd som föreslås gälla vid anskaffning och överlåtelse av säkerhetskänslig verksamhet – genom att föreskriva att lämplighetsprövningen ska ske före den särskilda säkerhetsskyddsbedömningen – föreligger inte enligt utredningen.
Utredningen exemplifierar det som:
– ett befintligt informationssystem ska hantera uppgifter med en högre säkerhetsskyddsklassificering än tidigare,
– ett befintligt informationssystem ska integreras eller kommunicera med andra informationssystem, eller när exponering av annat skäl väsentligen ökar, eller
– ett befintligt informationssystem ska användas i en annan säkerhetskänslig verksamhet (om inte en sådan hantering omfattas av det ursprungliga samrådet).
En ny bestämmelse införs med innebörden att tillsynsmyndigheten ska, i den omfattning som det behövs för tillsynen, ha rätt att få tillgång till informationssystem som används i verksamhet som omfattas av tillsyn. Tillsynsmyndigheten ska även få besluta att förelägga den som står under tillsyn att ge tillgång till sådana informationssystem samt ha möjlighet att förena föreläggandet med vite.
Utredningen föreslår att Försvarets materielverk i samråd med andra myndigheter ska analysera och lämna förslag på:
Det kan också noteras att SÄPO anser det vara oklart om en nationell särskild anpassad certifieringsordning för säkerhetskänslig verksamhet skulle lösa brister i säkerhetsskyddet, (s. 403).
Utredningen bedömer också att det närmare behovet av ytterligare reglering samt tydligare styrning och samordning av arbetet med samhällets informations- och cybersäkerhet bör utredas i särskild ordning. Så vi kan nog vänta oss fler utredningar och förslag inom kort.
