Justitiedepartementet Stockholm

Relevanta dokument
Datum Ert datum

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

REMISSVAR 1 (12) Rättsenheten Sven Johnard. Mottagare

Myndigheten för samhällsskydd och beredskaps författningssamling

Nya krav på systematiskt informationssäkerhets arbete

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet för samhällsviktiga och digitala tjänster

FMV:s yttrande över betänkandet SOU 2015:23 avseende informations- och cybersäkerhet i Sverige strategi och åtgärder för säker information i staten

Att säkerställa informationssäkerhet vid upphandling

Välkommen till enkäten!

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Gräns för utkontraktering av skyddsvärd information

1(6) Informationssäkerhetspolicy. Styrdokument

YTTRANDE (11)

REMISSVAR. Rättsenheten Justitiedepartementet Stockholm. Remissvaret följer promemorians disposition.

Informationssäkerhetspolicy

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Angående Justitiedepartementets remiss SOU 2015:25,

Remiss: Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52)

Konsekvensutredning rörande reviderade föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

Informationssäkerheten i den civila statsförvaltningen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy för Ystads kommun F 17:01

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

Remissvar avseende betänkandet En ny säkerhetsskyddslag (SOU 2015:25)

Utredningen om genomförande av NIS-direktivet

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Informationssäkerhetspolicy inom Stockholms läns landsting

Så stärker vi den personliga integriteten (SOU 2017:52)

FOI rekommenderar inte outsourcad IT-drift och förvaltning.

Myndigheten för samhällsskydd och beredskaps författningssamling

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Stöd för arbetet med regleringsbrevsuppdrag Informationssäkerhet i RSA

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Svensk författningssamling

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Konsekvensutredning för föreskrift om kommuners och landstings risk- och sårbarhetsanalyser

Remissyttrande över promemorian Sekretess i det internationella samarbetet (Ds 2012:34) Dnr Ju2012/5900/L6

Utbildningsdepartementet Stockholm 1 (10) Dnr :5217. Yttrande över promemorian Internationella skolor (U2014/5177/S)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Informationssäkerhetspolicy för Umeå universitet

Granskning av informationssäkerhet

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Remiss - En effektivare kommunal räddningstjänst (SOU 2018:54)

Synpunkter föreskrifter och allmänna råd Kapitel Punkt Synpunkter Förslag till ändring Övriga kommentarer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Föredragande borgarrådet Sten Nordin anför följande.

Konsekvensutredning för föreskrift om krav på informationssäkerhet

Yttrande över En ny säkerhetsskyddslag (SOU 2015:25)

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Koncernkontoret Enheten för säkerhet och intern miljöledning

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Remiss av SOU2015:66 En förvaltning som håller ihop

Yttrande över promemorian Följdändringar till ny förvaltningslag (Ds 2017:42) 6 LS

Årsrapport Itincidentrapportering

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Ett säkert statligt ID-kort med e- legitimation (SOU 2019:14)

Allmänt säkerhetsarbete. Informationssäkerhet. Dokumentnamn och uppdateringsinfo

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Remissvar Så stärker vi den personliga integriteten (SOU 2017:52)

Betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige

Betänkandet SOU 2010:4 Allmänna handlingar i elektronisk form offentlighet och integritet (Dnr Ju2010/1020/L6)

Hantering av behörigheter och roller

I Central förvaltning Administrativ enhet

Överenskommelse om kommunernas arbete med civilt försvar

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

PM 2015:127 RVI (Dnr /2015)

En effektivare kommunal räddningstjänst (SOU 2018:54) - remissyttrande

STOCKHOLM. Långsiktig och strategisk styrning av informationsförsörjningen

Strategi för förstärkningsresurser

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Policy för informations- säkerhet och personuppgiftshantering

Policy för informationssäkerhet

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Remissyttrande över promemorian Närvaroliggare och kontrollbesök (Ds 2009:43)

Konsekvensutredning för upphävande av Statens räddningsverks föreskrifter (SVRFS 2007:3) om erkännande av utländska yrkeskvalifikationer

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

Svar på revisionsskrivelse informationssäkerhet

Yttrande över delbetänkandet Digitalforvaltning.nu (SOU 2017:23)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Nationell risk- och förmågebedömning 2017

Att skydda det mest skyddsvärda

Yttrande över PSI-utredningens betänkande Ett steg vidare - nya regler och åtgärder för att främja vidareutnyttjande av handlingar (SOU 2014:10)

Finansinspektionens författningssamling

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Datainspektionen lämnar följande synpunkter.

Transkript:

2015-09-14 Justitiedepartementet 10333 Stockholm justitiedepartementet.registrator @regeringskansliet.se yttrande över SOU 2015:23 Information- och cybersäkerhet i Sverige Utredningens förslag innebär en höjd ambitionsnivå för samhällets informationssäkerhet och vissa av förslagen medför ökade kostnader. Som affärsverk finansierar sin verksamhet i princip uteslutande med s.k. en routeavgifter reglerade på EU nivå eller intäkter på grund av avtal avseende tjänster och produkter som verket tillhandahåller. I huvudsak har inte möjlighet att påverka de s.k. en route avgifternas nivåer eftersom dessa regleras genom EU regelverket. EU regelverket innebär krav på flygtrafiktjänsten att genomföra betydande kostnadssänkningar. Den kostnadsdrivande utvidgningen av informations- och cybersäkerheten, samt finansieringen därav, bör nogsamt övervägas, särskilt för ickeanslagsfinansierade myndigheter. Dokumentnummer D-2015-048396 Ärendenummer Ä-2015-002479 Ert datum Er beteckning Handläggare Jaanivald, Liine 011-192074T 011-19 25 75F liine.jaanivald@lfv.se Sekretess Styrning och tillsyn av informationssäkerheten i staten stärks Utredningen föreslår att en nationell styrmodell för informationssäkerhet etableras för att skapa ett systematiskt informationssäkerhetsarbete i statlig verksamhet. noterar att det är väsentligt att en sådan styrmodell omhändertar de olika särkrav som myndigheterna har. Förslaget avser i första hand de statliga myndigheterna och ska vara normerande för dessa men utredaren nämner att styrmodellen på sikt kan utsträckas till att omfatta hela den offentliga sektorn. noterar att en stor del av verksamheten som tidigare bedrivits inom den offentliga sektorn idag bedrivs i privat regi. Behovet av informationssäkerhet för denna verksamhet har dock inte förändras till följd av detta, skyddsvärdet är detsamma. Se SOU 2015:25. Det föreslås att myndigheternas internrevision behöver utvecklas till att inkludera uppföljning och kontroll av myndigheternas informationssäkerhet. menar att uppföljning inte är en uppgift för internrevisionen. Organisationen ansvarar själv för att följa upp sin verksamhet. Myndighetens uppföljning kan bestå av controllers, kvalitets- eller complianceavdelning el. dyl. Internrevisionens uppgift är att se till att en uppföljning finns på plats, är dokumenterad och implementerad och att den fungerar ändamålsenligt.

Däremot torde det vara möjligt att reglera att informationssäkerhet ska vara ett område för internrevisionens riskbedömning samt att internrevisionen ska granska myndighetens egen uppföljning. Staten ställer tydliga krav som upphandlare av tjänster som innehåller informationshantering eller av it-tjänster. förutsätter att resonemanget om en möjlighet att använda upphandlingsförfarandet enligt lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet (LUFS) inte enbart omfattar upphandling som normalt görs enligt Lag (2007:1091) om offentlig upphandling utan även fall då upphandling görs enligt lagen (2007:1092) om upphandling inom områdena vatten, energi, transporter och posttjänster. ställer sig positivt till en möjlighet att använda upphandlingsförfarandet enligt LUFS om myndigheten gör bedömningen att upphandling annars inte kan ske med erforderliga garantier för säkerhet. Förslag till förordning för statliga myndigheters informationssäkerhet I MSBFS 2009:10 Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter om statliga myndigheters informationssäkerhet regleras att en myndighets arbete med informationssäkerhet ska bedrivas i former enligt Ledningssystem för informationssäkerhet (SS ISO/IEC 27001: 2006) och Riktlinjer för styrning av informationssäkerhet (SS-ISO/IEC 27002:2005). Således finns det redan idag en tydlig styrning avseende myndigheters informationssäkerhet. menar att det därmed inte föreligger ett behov av förordning för statliga myndigheters informationssäkerhet vid sidan av MSBs föreskrifter på området. Definitioner 4 Definitionen av informationssäkerhet som förmågan att upprätthålla konfidentialitet, riktighet, tillgänglighet och spårbarhet i informationshanteringen synes innebära en utvidgning av begreppet, då spårbarhet normalt inte omfattas av begreppet. noterar att samma definition av samhällsviktig verksamhet finns i MSBFS 2015:3 föreskrifter och allmänna råd om statliga myndigheters risk- och sårbarhetsanalyser som trädde ikraft 2015-03-01. Det torde inte finnas behov av att reglera samma definition i två olika författningar. Det bör övervägas om regleringen istället bör ske i form av hänvisning. Myndighetens informationssäkerhetsarbete 6 ifrågasätter kravet på att den som har ett utpekat ansvar för informationssäkerhetsfrågor inom myndigheten ska sitta i myndighetens

ledning. föreslår att regleringen ändras till Hos myndigheten skall det, om det inte är uppenbart obehövligt, finnas en anställd med utpekat ansvar för informationssäkerhetsfrågor. Denne skall vara direkt underställd myndighetens chef jmf. Säkerhetsskyddsförordning (1996:633) 6 Chef för säkerhetsskyddet. noterar att kravet på att myndigheten aktivt, genom utbildning och övning, ska verka för att en god säkerhetskultur etableras i organisationen omfattar väsentligt mer än informationssäkerhet och lämpligen torde regleras i annan författning alternativt begränsas till att endast omfatta informationssäkerhet. 7 noterar att kravet på att myndigheten ska klassificera sin information med utgångspunkt i krav på konfidentialitet, riktighet, tillgänglighet och spårbarhet behöver tydliggöras. noterar även att denna klassificering av information utgör ett parallellt system till den klassificering av information som föreslås i SOU 2015:25. vill även påpeka att det i vissa fall föreligger särkrav på informationshantering beroende på myndighetens verksamhetsområde, t.ex. ska följa EU förordning73/2010 om kvalitetskraven på flygdata och flyginformation för ett gemensamt europeiskt luftrum. 8 noterar att kravet på att använda utpekade it-produkter är formulerat som ett absolut krav. föreslår att regleringen ändras till I de fall säkra itprodukter finns utpekade i verkställighetsföreskrifter som meddelats med stöd av denna förordning ska dessa användas om det inte är uppenbart obehövligt. Säkra kryptografiska funktioner noterar att de tre paragraferna avseende säkra kryptografiska funktioner är identiska med regleringen som finns i förordning (2006:942) om krisberedskap och höjd beredskap. förutsätter att regleringarna inte kommer att finnas i båda förordningarna då dessa i väsentlig del tillämpas av samma myndigheter. Det bör övervägas om regleringen istället bör ske i form av hänvisning. Upphandling och utveckling av it-system och it-produkter 15 förutsätter att informationsklassning som åsyftas är densamma som i 7 och att ramarna för denna klassificering bör tydliggöras. 16 noterar att kravet på att endast använda säkra och certifierade itprodukter kopplas till den samhällsviktiga verksamheten som myndigheten bedriver. förutsätter att det som åsyftas är samhällsviktig verksamhet så

som den definieras i MSBFS 2015:3 Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters risk- och sårbarhetsanalyser. MSB har tidigare uppmärksammat att det funnits olika tolkningar bland myndigheterna gällande vilka verksamheter som ska/bör anses vara samhällsviktiga och på vilken detaljnivå dessa ska identifieras. Trots att MSB i MSBFS 2015:3 syftat till att förtydliga vilken detaljeringsgrad som myndigheternas redovisning av samhällviktig verksamhet ska innehålla och vilken samhällsviktig verksamhet som avses torde det alltjämt föreligga stora skillnader i myndigheternas arbete med att identifiera samhällsviktig verksamhet. Det bör därför övervägas om syftet med regleringen kan uppnås utan referens till begreppet samhällsviktig verksamhet. noterar att kravet på att använda utpekade it-produkter är formulerat som ett absolut krav. föreslår att regleringen ändras till I de fall säkra itprodukter finns utpekade i verkställighetsföreskrifter som meddelats med stöd av denna förordning ska dessa användas om det inte är uppenbart obehövligt. It-incidentrapportering noterar att det finns förslag på ny säkerhetsskyddsförordning med nya informationssäkerhetsklasser som planeras träda ikraft 1 januari 2017. Vidare noteras att den hantering som föreslås i andra stycket inte torde vara ändamålsenlig och kostnadseffektiv. föreslår att den rapporteringspliktiga myndigheten endast rapporterar it-incidenten vid ett tillfälle till en myndighet. Tillsyn, föreskrifter och myndighetsrådets uppgifter noterar att informationssäkerhet inom ramen för säkerhetsskydd samt tillsyn och rätt att meddela föreskrifter för denna regleras enligt författningarna avseende säkerhetsskydd. Den tillsyn som den föreslagna informationssäkerhetsförordningen kommer att reglera överlappar delvis tillsynen enligt SOU 2015:25. Detta torde försvåra förutsättningarna för överblickbarhet för de aktörer som har att följa föreskrifterna. Övrigt De presenterade författningsförslagen innebär betydande krav avseende myndigheters informationssäkerhetsarbete. Mot bakgrund av detta anser att det planerade ikraftträdandet 1 januari 2016 inte är rimligt, utan bör senareläggas. Lämpligen bör ikraftträdandet ske koordinerat med ev. ny säkerhetsskyddslag och säkerhetsskyddsförordning.

Beslut i detta ärende har fattats av generaldirektören. Föredragande har juristen Liine Jaanivald varit. Medverkat i beslutet har även chefsjurist Petra Sernulf. Norrköping 2015-09-14. Olle Sundin Generaldirektör

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss