Datum Ert datum

Relevanta dokument
Justitiedepartementet Stockholm

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

REMISSVAR 1 (12) Rättsenheten Sven Johnard. Mottagare

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

REMISSVAR. Rättsenheten Justitiedepartementet Stockholm. Remissvaret följer promemorians disposition.

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Myndigheten för samhällsskydd och beredskaps författningssamling

FMV:s yttrande över betänkandet SOU 2015:23 avseende informations- och cybersäkerhet i Sverige strategi och åtgärder för säker information i staten

Att säkerställa informationssäkerhet vid upphandling

Myndigheten för samhällsskydd och beredskaps författningssamling

Så stärker vi den personliga integriteten (SOU 2017:52)

Myndigheten för samhällsskydd och beredskaps författningssamling

Remissvar. Informations- och cybersäkerhet i Sverige- strategi och åtgärder för säker information i staten 1/8

Nya krav på systematiskt informationssäkerhets arbete

Svensk författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet för samhällsviktiga och digitala tjänster

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Finansinspektionens författningssamling

Kommittédirektiv. Viss översyn av ansvarsfördelning och organisation när det gäller samhällets informationssäkerhet. Dir. 2009:110

Välkommen till enkäten!

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Bilaga. Sammanfattning

Svensk författningssamling

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Finansinspektionens författningssamling

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy inom Stockholms läns landsting

Remiss: Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Betänkandet SOU 2017:23 digitalforvaltning.nu (Fi2017/01289/DF) Sammanfattning 1(10) Yttrande /112. Finansdepartementet

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

Informationssäkerhet - Informationssäkerhetspolicy

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy för Ystads kommun F 17:01

I Central förvaltning Administrativ enhet

1(6) Informationssäkerhetspolicy. Styrdokument

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Bilaga 3 Säkerhet Dnr: /

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

SOLLENTUNA FÖRFATTNINGSSAMLING

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Finansinspektionens författningssamling

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

FOI rekommenderar inte outsourcad IT-drift och förvaltning.

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige

Krav på riktlinjer vid direktupphandlingar

Utredningen om genomförande av NIS-direktivet

YTTRANDE 1 (5) Riskarkivets föreskrifter anger att överenskommelse eller avtal ska upprättas när handlingar hanteras av annan än myndigheten.

Informationssäkerhetspolicy

Kommittédirektiv. Utveckling i staten genom systematiska. jämförelser, Dir. 2014:120. Beslut vid regeringssammanträde den 21 augusti 2014

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Stöd för arbetet med regleringsbrevsuppdrag Informationssäkerhet i RSA

Samhällets informationssäkerhet

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Policy för informations- säkerhet och personuppgiftshantering

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) Kammarrätten lämnar följande synpunkter på det remitterade förslaget.

Organisation för samordning av informationssäkerhet IT (0:1:0)

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

9t- SLU YTTRANDE. Sammanfattning av SLU:s synpunkter. Generella synpunkter. Kapitel 4. Sveriges åtagande kräver handling, s. 57

Kommittédirektiv. Genomförande av EU-direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem. Dir.

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Yttrande över Socialstyrelsens förslag till föreskrifter om behandling av personuppgifter och journalföring i hälsooch sjukvården

Konsekvensutredning rörande reviderade föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

Välfärdsutredningens slutbetänkande Kvalitet i välfärden (SOU 2017:38)

Gräns för utkontraktering av skyddsvärd information

YTTRANDE. Dnr Ju2017/05090/L6. Så stärker vi den personliga integriteten (SOU 2017:52) slutbetänkande av Integritetskommittén

STOCKHOLM. Långsiktig och strategisk styrning av informationsförsörjningen

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Enligt utredningens direktiv (Dir: 2014:161) ska förslag till nödvändiga författningsändringar lämnas.

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Krav på riktlinjer vid direktupphandlingar

Remissvar: Konsekvensutredning med remiss. ESVs förslag på nya föreskrifter och allmänna råd inför 2013.

Förvaltningskommitténs slutbetänkande: Styra och ställa - förslag till en effektivare statsförvaltning (SOU 2008:118)

Informationssäkerhetspolicy

Handledning Samarbete om risker i verksamheten

Informationssäkerhet, Linköpings kommun

Transkript:

Vår referens Hans Brännlund, 060-18 76 86 Datum 2015-09-14 Ert datum 2015-05-06 Vår beteckning MD 2015/217 Er beteckning Ju2015/2650/SSK Justitiedepartementet Enheten för samordning av samhällets krisberedskap (SSK) 103 33 Stockholm 1 (7) Yttrande över betänkande SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten Statens tjänstepensionsverk (SPV) har tagit del av betänkandet och stödjer utredningens förslag, men lämnar några synpunkter och kommentarer. Som beskrivits om utredningens inriktning ska förslagen begränsas till det statliga området, men kan bli tydligare i vissa delar genom att täcka in myndigheters utkontraktering, köp av tjänster från privata aktörer och kontakter med andra än enbart andra myndigheter. Bilaga 1, utdrag ur betänkandet med markeringar för givna kommentarer. Författningsförslaget Nedan redovisas ett antal synpunkter på författningsförslaget (markerat i bilaga 1): 5, kommentar som rör leverans till annan organisation, det bör även gälla för vad som levereras till allmänheten och enskilda. 8, kommentar som rör val av säkra it-produkter, det bör även gälla tjänster (beroende på hur it-produkt valts att definieras). 10, kommentar som rör annan myndighet, en så kallad värdmyndighet, att myndigheten har ansvar för rapportering av incidenter oavsett om informationssäkerhetsarbetet administreras av en värdmyndighet direkt eller via en privat underleverantör. 15, kommentar som rör ansvar och roller i samband med upphandling och utveckling av it-system eller it-produkter, det bör även gälla tjänster (processer). 16, kommentar som rör upphandling av it-produkter respektive säkra och certifierade it-produkter, Det bör även gälla tjänster respektive säkra tjänster. Dessutom är det kanske inte alltid möjligt att ställa krav på certifierade it-produkter, andelen certifierade it-produkter kanske inte är tillräckligt omfattande. Det är också viktigt att ramavtalen fungerar även när omsättningen på certifierade it-produkter är snabbare än förnyelsen av ramavtalen. 17, kommentar som rör leverans till annan organisation, det bör även gälla vad som levereras till enskild. SPV Statens tjänstepensionsv erk hans.brannlund@spv.se Postadress 851 90 Sundsv all Besöksadress Jägargatan 1 Telefon 060-18 74 00 Telefax 060-18 74 38 E-post spv @spv.se Webbplats www.spv.se

2015-09-14 2 (7) SPV lämnar också några kommentarer och reflektioner på betänkandet, se nedanstående texter. Myndighetsrådets uppgifter Det bör klargöras på vilken nivå som stöd ska ges, det skiljer en del mellan vad som nämns nedan (från sidan 220 respektive 225-226). Det vore önskvärt med bistånd av expertkompetens mer allmänt än enbart om gällande itstandarder och certifikat. Förvaltningsmyndigheter under regeringen Då det gäller revision och återrapporteringskrav är frågan om man över huvud taget ska peka ut särskilda åtaganden specifikt, som ansvaret för att upprätthålla säker informationshantering. Myndighetens ledning har redan ett utpekat ansvar för verksamheten som helhet, av vilken informationssäkerheten är en del. Istället för att årligen lämna tilläggsupplysning i årsredovisningen förespråkar SPV en skrivelse i myndighetsförordningen. Möjligheten att tillämpa lagen (2011:1029) om upphandling på försvarsoch säkerhetsområdet (LUFS) I lagen beskrivs användningsområdet för LUFS vara inköp av försvarsmateriel, varför SPV inte kan se hur denna lag skulle kunna användas bredare. Konsekvenser av förslagen Hela utredningen med en höjd ambitionsnivå lyfter fram behovet av insatser för att öka informationssäkerheten inom myndigheterna, behov av kompetenser, mer arbetet med informationsklassning och uppföljningar, ökade resurser för upphandling. SPV bedömer att en ökad ambitionsnivå kräver resurstillskott av ny och eventuellt dyrare kompetens för att kunna uppfylla intentionerna i denna utredning. Statens intäkter På lång sikt kan genomförande av utredningens förslag leda till kostnadsminskning, men inledningsvis kommer det nog att kräva ökade resurser. Istället för att prata om en kostnadsminskning kanske det snarare kan röra sig om att undvika kostnadsökningar genom att undvika oönskade händelser som orsakas av brister inom informations-säkerhetens område, i takt med ökad mängd informationssystem och integrationer. Finansiering Behoven inom många organisationer att hantera dessa frågor fullt ut riskeras att underskattas. Det blir ökade krav, exempelvis på internt arbete med informationsarbetet, kompetensutveckling, processförbättringar, krav på leverantörer, vid upphandling av produkter och tjänster. Kompetens och resursfrågan måste stärkas, särskilt vid mindre myndigheter.

2015-09-14 3 (7) Detta yttrande har beslutats av undertecknad generaldirektör i närvaro av säkerhetsskyddschef Hans Brännlund, föredragande och biträdande säkerhetsskyddschef Jan-Olof Flink. Med vänlig hälsning Statens tjänstepensionsverk Joakim Stymne Hans Brännlund

2015-09-14 4 (7) Bilaga 1 Förtydligande markeringar för kommentarer ovan, SOU 2015:23. Författningsförslag Utdrag 5 Varje myndighet ansvarar för att, genom ett risk- och sårbarhetsbaserat, systematiskt och processinriktat arbetssätt, upprätthålla en tillräcklig nivå av informationssäkerhet för den information de ansvarar för eller hanterar i tjänster som myndigheten levererar till en annan organisation. Myndigheten ska i sitt informationssäkerhetsarbete särskilt beakta behovet av ledningssystem och etablerade standarder för informationssäkerhet. 8 Myndigheten ska, med stöd av risk- och sårbarhetsanalyser, välja och använda säkra it-produkter vid hantering av information där bristande informationssäkerhet kan medföra en betydande försämring av myndighetens förmåga att bedriva sin verksamhet. I de fall säkra itprodukter finns utpekade i verkställighetsföreskrifter som meddelats med stöd av denna förordning ska dessa användas. 10 Kraven i 5 9 gäller endast i tillämpliga delar sådana myndigheter vars informationshantering eller vars informationssäkerhetsarbete administreras av en annan myndighet, en så kallad värdmyndighet. En sådan värdmyndighet som avses i första stycket ska informera den anlitande myndigheten om inträffade it-incidenter som har eller kan ha påverkat säkerheten hos den anlitande myndighetens information. 15 I samband med upphandling och utveckling av it-system eller it-produkter ska myndigheten i förhållande till leverantören klarlägga ansvar och roller för informationssäkerhetsarbetet. Myndigheten ska även fastställa processer för hur säkerhetskrav ska hanteras och hur uppföljning ska ske. Upphandlingen eller utvecklingen ska föregås av informationsklassning och riskanalys av berörd information. Resultatet av klassningen och riskanalysen ska vara styrande för utformningen av säkerhetskrav som ställs vid upphandling eller utveckling. Kraven i första och andra stycket gäller även vid anslutning till myndighetsgemensamma tjänster för e-förvaltning eller liknande syfte. En myndighet ska endast uppdra åt någon annan att hantera myndighetens information om hanteringen kan ske med tillräcklig säkerhet och enligt denna författning. I detta ingår att försäkra sig om att it-incidenter som har eller kan ha påverkat säkerheten rapporteras till myndigheten. 16 I samband med upphandling av it-produkter som är avsedda att användas i samhällsviktig verksamhet som myndigheten bedriver eller ansvarar för ska, då sådana finns tillgängliga, endast säkra och certifierade it-produkter använ-

2015-09-14 5 (7) das. I de fall säkra it-produkter finns utpekade i verkställighetsföreskrifter ska dessa användas. 17 En myndighet ska till Myndigheten för samhällsskydd och beredskap skyndsamt rapportera it-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten levererar till en annan organisation. För incidenter som ska anmälas till en tillsynsmyndighet enligt bestämmelserna i 10 a säkerhetsskyddsförordningen (1996:633) gäller rapporteringsplikten enligt första stycket inte förrän tillsynsmyndigheten har meddelat den rapporteringspliktiga myndigheten att incidenten inte längre är föremål för behandling hos tillsynsmyndigheten. Myndighetsrådets uppgifter Från sidan 220, utdrag Myndighetsrådet bör med bland annat stöd av den nationella styrmodellen och tillsammans med den nya upphandlingsmyndigheten ge stöd till myndigheter som har behov av expertkompetens vad gäller it- och informationssäkerhet. Stödet bör ges till myndigheter som står inför upphandling av informations- och it-lösningar och bör bestå av allmänna rekommendationer om bl.a. it-standarder och krav på certifiering. Från sidan 225-226, utdrag I avsnitt 9.2.2 har utredningen föreslagit att ett statligt myndighetsråd för informationssäkerhet ska inrättas. En ny bestämmelse om rådets uppgifter ska införas i förordningen. Det ska anges att myndighetsrådet har till uppgift att stödja och utveckla informationssäkerhetsarbetet i samhället, varvid det som exempel bör räknas upp att det i detta ingår att utgöra en gemensam berednings- och remissinstans på informationssäkerhetsområdet, bidra med stöd rörande informationssäkerhetsfrågor vid utfärdandet av föreskrifter på informationssäkerhetsområdet, förvalta och utveckla tillämpliga krav i standarder samt certifiering och ackreditering (kontrollordningar) för produkter och tjänster med bäring på informationssäkerhet i samhällsviktig verksamhet, bistå med expertkompetens i samband med upphandling av tjänster och produkter på informationssäkerhetsområdet, och utveckla krav- och skyddsnivåer. Förvaltningsmyndigheter under regeringen Från sidan 235, utdrag Som framgått har behovet av att skydda information blivit en allt viktigare angelägenhet för myndigheterna. Att i en sådan situation säkerställa att internrevisionen beaktar även informationssäkerhetsfrågorna har potential att öka fokus på frågorna och skapa än förbättrade förutsättningar för att ett systematiskt informationssäkerhetsarbete som får faktisk effekt kan bedrivas. Utredningen föreslår därför att det i förordningen (2000:605) om årsredovisning och budgetunderlag införs en bestämmelse om att till

2015-09-14 6 (7) årsredovisningen en tilläggsupplysning ska lämnas om genomförd internrevision och status för informationssäkerhetsarbete på myndigheten. Ett alternativ vore att i myndighetsförordningen (2007:515) införa en bestämmelse om att myndighetens ledning ansvarar för att upprätthålla säkerhet i sin informationshantering. Möjligheten att tillämpa lagen (2011:1029) om upphandling på försvarsoch säkerhetsområdet (LUFS) Från sidan 242-243, utdrag Om upphandlande myndighet efter att ha uttömt de möjligheter till kravställande som LOU medger likafullt inte anser att upphandling kan ske med erforderliga garantier för säkerhet i staten kan myndigheten i stället överväga att använda upphandlingsförfarandet enligt lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet (LUFS). Lagen är avsedd för upphandlingar av materiel och tjänster som är av så känslig natur att upphandling enligt LOU eller lagen (2007:1092) om upphandling inom områdena vatten, energi, transporter och posttjänster inte lämpar sig. LUFS är i stort sett parallell till dessa två lagar men till skillnad från dem innehåller LUFS bestämmelser om informationssäkerhet, försörjningstrygghet och underentreprenad. Lagen genomför huvudsakligen Europaparlamentets och rådets direktiv2009/81/eg. Konsekvenser av förslagen Från sidan 277, utdrag Utredningens förslag innebär en höjd ambitionsnivå för statens informationssäkerhet. Åtskilliga av åtgärdsförslagen kan rymmas inom myndigheters befintliga budget. Nedanstående beräkningar avser främst de kostnader som uppstår hos Myndigheten för samhällsskydd och beredskap, som är den myndighet som enligt den föreslagna förordningen får ett utökat förvaltningsansvar. Kostnader av mindre omfattning kan också komma att uppstå i andra delar av statsförvaltningen. Dessa är dock svårare att överblicka. De förslag i föregående kapitel som varit möjliga att kostnadsberäkna anges nedan. Statens intäkter Från sidan 282, utdrag Utredningen bedömer att det snarare blir minskade kostnader på sikt än ökade statliga intäkter som följd av utredningens förslag. På informationssäkerhetens område är det sannolikt så att en förbättrad organisation, i enlighet med våra förslag i normalfallet dels leder till lägre kostnader, dels förorsakar genomförandekostnad men på sikt en kostnadsminskning tack vare bättre säkerhet. En samordning inom statsförvaltningen som bygger på en gemensam styrmodell kan leda till lägre kostnader för statliga myndigheter, om man i stället för att utveckla egna varianter följer gemensamma principer. Standardiseringsinsatser, liksom de flesta itinvesteringar, innehåller i teorin en inledande investeringskostnad och

2015-09-14 7 (7) därefter en period av ökande effektivitet, möjligen lägre kostnader förutsatt att organisation, resurser och kompetens anpassas till den nya tekniken. Det är dock svårt att kvantifiera dessa effekter. Finansiering Från sidan 282, utdrag Eftersom informationssäkerhet normalt anses ingå i kostnaderna för respektive verksamhet är utgångspunkten att flera förslag bör bäras av respektive verksamheter; kostnaderna kan antas vara ganska marginella i förhållande till de totala verksamhetskostnaderna.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss