Remissvar. Informations- och cybersäkerhet i Sverige- strategi och åtgärder för säker information i staten 1/8

Relevanta dokument
Justitiedepartementet Stockholm

Remissvar. Ekonomistyrningsverkets remissvar över digitalforvaltning.nu (SOU 2017:23) 1/7

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Datum Ert datum

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Fördjupad översyn av Försvarsmaktens logistikförsörjning i fråga om vidmakthållande och upphandling (Fö 2017:B)

Så stärker vi den personliga integriteten (SOU 2017:52)

ESV invänder däremot mot några av utredningens författningsförslag:

Ekonomistyrningsverkets remissvar över betänkandena Med tillit växer handlingsutrymmet (SOU 2018:47 och En lärande tillsyn (SOU2018:48)

Handledning Samarbete om risker i verksamheten

Frågor om internrevision och intern styrning och kontroll 2017

Remissvar: Konsekvensutredning med remiss. ESVs förslag på nya föreskrifter och allmänna råd inför 2013.

Remiss: Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52)

Tillsyn över Polisen (SOU 2013:42)

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

REMISSVAR. Rättsenheten Justitiedepartementet Stockholm. Remissvaret följer promemorians disposition.

FMV:s yttrande över betänkandet SOU 2015:23 avseende informations- och cybersäkerhet i Sverige strategi och åtgärder för säker information i staten

J v EKONOM ISTYRN INGSVERKET

Regeringsrapport internrevision/ intern styrning och kontroll Catrin Lind Ebert

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

REMISSVAR 1 (12) Rättsenheten Sven Johnard. Mottagare

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Socialdepartementet. REMISSVAR Dnr / (5) Telefon

Remissvar Så stärker vi den personliga integriteten (SOU 2017:52)

Frågor om internrevision och intern styrning och kontroll 2019

FOI rekommenderar inte outsourcad IT-drift och förvaltning.

Nätverk för intern styrning och kontroll. Nätverksträff 2, Patrick Freedman och Karolina Larfors

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nya regler för AP-fonderna (Ds 2015:34)

Rapport Säkerställd intern styrning och kontroll Myndigheternas redovisning i årsredovisningarna för 2013 ESV 2014:36

Remissvar. Ekonomistyrningsverkets remissvar över digitalforvaltning.nu (SOU 2017:23) 1/7

Frågor om internrevision

Instruktion för internrevisionen vid Malmö högskola

Revisionsplan för Linnéuniversitetet 2015

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

1/5. Ekonomistyrningsverket

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Betänkandet SOU 2017:23 digitalforvaltning.nu (Fi2017/01289/DF) Sammanfattning 1(10) Yttrande /112. Finansdepartementet

Svensk social trygghet i en globaliserad värld (SOU 2017:5) (Socialdepartementets dnr 2017/00606/SF)

Remissvar om departementspromemorian En anpassning av bestämmelser om kontroll i livsmedelskedjan till EU:s nya kontrollförordning

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Internrevisionsförordning (2006:1228)

Utdrag ur universitetsstyrelsens protokoll 14 december Regler för Internrevisionen

Granskning av informationssäkerhet

En lag om upphandling av koncessioner (SOU 2014:69)

Yttrande över betänkandet reboot omstart för den digitala förvaltningen (SOU 2017:114)

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Myndigheten för samhällsskydd och beredskaps författningssamling

Betänkande av utredningen för ett stärkt civilsamhälle - Palett för ett stärkt civilsamhälle (SOU 2016:3) Ku2016/00504/D

Nya krav på systematiskt informationssäkerhets arbete

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

STOCKHOLM. Långsiktig och strategisk styrning av informationsförsörjningen

I Central förvaltning Administrativ enhet

Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82)

Kommittédirektiv. Utveckling i staten genom systematiska. jämförelser, Dir. 2014:120. Beslut vid regeringssammanträde den 21 augusti 2014

Riktlinjer för internrevisionen vid Linnéuniversitetet

Remissvar om rapportering av regeringsuppdrag N2018/00721/DL, Att inleda arbetet med att inrätta ett nationellt dricksvattenråd

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

En kommunallag för framtiden (SOU 2015:24)

Yttrande över PSI-utredningens betänkande Ett steg vidare - nya regler och åtgärder för att främja vidareutnyttjande av handlingar (SOU 2014:10)

Yttrande över betänkandet Systematiska jämförelser - för lärande i staten (SOU 2015:36) Fi2015/2312

Rapport Säkerställd intern styrning och kontroll Myndighetsledningarnas bedömning av intern styrning och kontroll i årsredovisningen för 2014

Frågor om internrevision och intern styrning och kontroll 2018

En samlad kunskapsstyrning för hälso- och sjukvård och socialtjänst (Ds 2014:9)

REMISSVAR. Livsmedelsverket Box Uppsala.

Instruktion för Internrevision vid Linköpings universitet

Mål och myndighet En effektiv styrning av jämställdhetspolitiken (SOU 2015:86)

Betänkandet SOU 2017:23 digital forvaltning.nu

Konsekvensutredning för föreskrift om kommuners och landstings risk- och sårbarhetsanalyser

Att säkerställa informationssäkerhet vid upphandling

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Uppgifter till redovisningen över internrevisionen

Exp J.Dil--00-J b~ Remissvar. Digitalforvalting.nu, SOU 2017:23. YTTRANDE Dnr

Yttrande över betänkandet Ökade möjligheter till modersmålsundervisning och studiehandledning på modersmål (SOU 2016:1371)

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

En gymnasieutbildning för alla åtgärder för att alla unga ska påbörja och fullfölja en gymnasieutbildning (SOU 2016:77)

Skapa tilltro Generell tillsyn, enskildas klagomål och det allmänna ombudet inom socialförsäkringen (SOU 2015:46)

på fler platser (SOU 2018:43)

Remissvar avseende Framtidens biobanker (SOU 2018:4), dnr S2018/00641/FS

Vissa förslag om personlig assistans

Våld i nära relationer en folkhälsofråga SOU 2014:49

Delbetänkande Ett minskat och förenklat uppgiftslämnande för företagen (dnr. 2013/4)

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Årligt yttrande 2013 socialfonden. Europeiska socialfonden (ESF) ESV 2014:23

Informationssäkerhetspolicy för Ystads kommun F 17:01

Revisionsplan för Linnéuniversitetet 2016

Rapport Internrevision och intern styrning och kontroll Regeringsuppdrag

REVISIONSPLAN FÖR ÅR 2012

Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen (SOU 2017:114)

Myndighetsdatalag (SOU 2015:39)

Yttrande över betänkandet Nästa steg?- Förslag för en stärkt minoritetspolitik (SOU 2017:60) Dnr: Ku2017/01534/DISK

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Ekonomistyrningsverkets förslag på nya föreskrifter och allmänna råd

En kommunallag för framtiden (SOU 2015:24)

Gräns för utkontraktering av skyddsvärd information

Internrevisionens revisionsplan 2008

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Betänkandet SOU 2015:43 Vägar till ett effektivare miljöarbete

Ny struktur för skydd av mänskliga rättigheter (SOU 2010:70)

Transkript:

1/8 EKONOM ISTYRN INGSVERKET Remissvar Datum 2015-09-09 ESVdnr 3.4-573/2015 Handläggare Annika Alexandersson Ertdatum 2015-09-15 Er beteckning Ju2015/2650/SSK J ustitiedepattemen te t Informations- och cybersäkerhet i Sverige- strategi och åtgärder för säker information i staten Ekonomistyrningsverket (ESV) svarar på remissen om strategi och åtgärder för säker informations och cybersäkerhet i staten. ESV avgränsar sitt svar till följande tre mål i den av utredningen föreslagna strategin. De tre målen är att stärka styrning och tillsyn inom området, att staten ska ställa tydliga krav vid upphandling på it-området och att samtliga statliga myndigheter rapporterar it-incidenter. När det gäller de förslag som berör statlig internrevision, intern styrning och kontroll samt myndighetsförordningen (2007:515) svarar ESV utifrån de uppgifter som framgår av vår instruktion. Sammanfattningsvis vill ESV framföra att: ESV anser att informationssäkerhetsområdet är viktigt för intemrevisionen men att det inte behövs ytterligare reglering. Den statliga internrevisionens uppgift enligt internrevisionsförordning (2006: 1228) är att granska myndighetens interna styming och kontroll i all verksamhet som myndigheten bedriver och/eller ansvarar för, vilket även omfattar informationssäkerhet ESV avstyrker därför förslaget som rör internrevisionsförordningen. ESV avstyrker förslaget om ett tillägg i myndighetsförordningen eftersom vi anser att det redan i dag framgår tydligt att myndighetens ledning ansvarar för hela myndighetens verksamhet inför regeringen (Myndighetsförordning (2007:515) 3 ). Informationssäkerhet ingår som en del av myndighetens verksamhet. Det finns därför inget behov att i myndighetsförordningen (2007:515) införa ett tillägg för att särskilt fåttydliga myndighetsledningens ansvar för att upprätthålla säkerheten i myndighetens informationshantering. ESV avstyrker förslaget om att i förordningen (2000:605) om årsredovisning och budgetunderlag införa en bestämmelse om att en tilläggsupplysning om genomförd internrevision och status för myndighetens informationssäkerhetsarbete ska lämnas i myndighetens årsredovisning. ESV anser inte att det är sakligt motiverat att ha särskilda intyganden för enskilda områden. Ett övergripande intygande lämnas redan i dag av myndighetensledningarna när det gäller myndigheter med internrevision. Drottninggatan 89 Box 45316 1 04 30 stockhol m Tfn 08-690 43 oo Fax 08-690 43 50 www.esv.se registrator@esv.se Bankgiro 5052-6854 Org.nr/F-skattebevis 202100-5026 SE202100502601 (EU) Faktureringsadress Ekonomistyrningsverket FE 27 838 73 Frösön

2/8 EKONOM ISTYRNI NGSVERKET - ESV välkomnar regeringens initiativ inom området informationssäkerhet men vill samtidigt inte att regleringen ska ha en sådan omfattning att den riskerar att hämma säkerhetsutvecklingen i staten genom en alltför centralstyrd skyddsnivålösning. ESV :s uppfattning är att det är viktigt att styrmodellen är balanserad så att den inte begränsar myndighetens eget ansvar och försvårar för myndigheterna att anpassa sig till nya situationer. - ESV stöder inte utredningens förslag till uppgifter för det föreslagna statliga myndighetsrådet A v de uppgifter som föreslås i förslaget till ny förordning är det endast uppgiften att rådet ska fungera som referens- och beredningsgrupp som ESV anser vara lämplig. - ESV stöder förslaget att ta fram en standard för informationssäkerhet och att denna ska användas vid kravställning i upphandling men vill påpeka att detta redan idag görs i stor utsträckning. - ESV stöder förslaget att den nya upphandlingsmyndigheten får i uppdrag att ge stöd till myndigheter i informationssäkerhetsfrågor kopplade till upphandling. ESV stöder inte utredningens förslag att det bör införas krav på att rapportera vilken leverantör som en statlig myndighet har valt då ramavtal rörande!t-lösningar används. ESV är tveksam till utredningens förslag att för tjänster och produkter som ska användas för kommunikation inom staten tillämpa lagen om upphandling på försvars- och säkerhetsområdet, om upphandling enligt lagen om offentlig upphandling inte medger att nödvändiga krav ställs. ESV tror att detta kan motverka vissa syften med offentlig upphandling bland annat vad gäller god konkurrens. ESV anser inte att det är möjligt att utifrån den konsekvensutredning som gjorts bedöma vad utredningens förslag kommer att kosta eller hur det ska finansieras. - ESV stöder förslaget om att införa en ny förordning för statliga myndigheters informationssäkerhet ESV lämnar även synpunkter som mer direkt berör utformningen av och begrepp i den av utredningen föreslagna förordningen.

3/8 E KON OM ISTYRNI NGSVERKET Styrning och tillsyn av informationssäkerheten i staten stärks a)utredningenföreslår att en nationell styrmodellför informationssäkerhet etableras för att skapa ett systematiskt iriformationssäkerhetsarbete i statlig verksamhet. Förslaget avser iförsta hand de statliga myndigheterna och ska vara normerade för dem men styrmodellen kan på sikt utvecklas till att onifatta hela den offentliga sektorn. ESV anser att en central styrmodell som omfattar skyddsnivåer 1 och skyddsåtgärder riskerar att hämma säkerhetsutvecklingen i staten. En centralstyrd skyddsnivålösning kan svårligen fungera i praktiken med dagens informationsflöden och teknikutveckling. Det är viktigt att styrmodellen är balanserad och inriktar sig enbart på kravnivåer? En alltfor strikt styrningsmodell är i konflikt med 5 i den forestagna forordningen gällande myndigheters ansvar. Konflikten och otydligheten gällande ansvar gör att strategin blir svår att genomföra och dess praktiska tillåmning svår att granska. b J Utredningenföreslår att det bör inrättas ett statligt myndighetsrådför informationssäkerhet bestående avföreträdare för de relevanta myndigheterna på området. ESV är tveksam till om ett råd sammansatt med fåreträdare från myndigheterna är tillräckligt for uppgiften att bistå med expetikompetens. De som sitter i rådet har inte möjlighet att från sin ordinarie anställning även arbeta med andra myndigheters informationssäkerhet Förutom tidsaspekten så innebär expertstödet även risk för att rådet tar över myndigheternas ansvar enligt 5 i den föreslagna forordningen. En annan brist är att förslaget inte samlar expertis från övrig offentlig sektor (kommuner och landsting). ESV anser inte att det är lämpligt att Rådet ska ha den verkställande uppgiften att åtgärda brister i statens verksamhet. Rådet kan inte, som det är beskrivet med myndigheternas ansvar, se 5 i förslaget till ny forordning, säkerställa att strategin verkställs. Rådets uppgift bör vara att stödja strategins genomförande enligt 18 genom att enbart vara beredning- och remissinstans. c) Utredningenföreslår att en ny förordningför statliga myndigheters informationssäkerhet bör införas för att tydliggöra ett ökat ansvarför det praktiska säkerhetsarbetet inom myndigheterna. ESV stöder forslaget att infora en ny förordning. Vi har dock några synpunkter på forslaget och hade gärna sett att en ordlista bifogats till utredningen. 1 skyddsnivå- Hur myndigheten ska skydda sin information. 2 Kravnivå -olika krav på informationssäkerhet som myndigheten ska uppfylla.

4/8 EKONOM ISTYRNI NGSVERKET Enligt 7 i forslaget till ny förordning står det att myndigheten ska foija utvecklade krav och skyddsnivåer. ESV anser att det vore bättre att begränsa detta till kravnivåer då myndigheter redan har ansvar för kravnivåernas uppfyllande, vilket ger skyddsnivån för information. I 5 skriver man att varje myndighet ansvarar för att upprätthålla en tillräcklig nivå av informationssäkerhet Användning av skyddsnivåer kan misstolkas och felaktigt lägga ansvaret för bedömning av vilket skydd man behöver utanför myndigheten. (Se även förslaget till ny säkerhetsskyddslag.) I l O i förslaget till ny forordning anges att kraven i 5-9 bara gäller "i tillämpliga delar" om man är en s.k. värdmyndighet. ESV anser att tillämpning av 5-9 bör gälla även för en värdmyndighee. Detta eftersom informationssäkerheten alltid ska motsvara de krav som följer med den anlitande myndighetens information och som värdmyndigheten i sin tur hanterar. Det är också svårt att tolka vad som motiverar undantag och därmed att bedöma efterlevnaden hos en värdmyndighet. Enligt 17 i forslaget till ny förordning ska IT -incidenter rappor te.-as in till MSB. ESV anser att begreppet"!t-incidenter" är för brett då det omfattar alla typer av IT relaterade händelser vilket är en ohanterlig mängd och i sammahanget innehåller en mängd ointressanta uppgifter. ESV anser att begreppet IT -säkerhets incidenter är att föredra om det enbart är teknikknutet, alternativt informationssäkerhetsincidenter om man avser att få med även fysiska eller administrativa händelser som påverkar informationssäkerheten. I 18 i den forestagna forordningen står det att rådet har till uppgift att "utgöra en gemensam berednings- och remissinstans på informationssäkerhetsområdet". Vidare står det i 18 att rådet ska" utveckla krav- och skyddsnivåe ". ESV anser att detta kan tolkas som att rådet skulle ansvara för att utveckla både krav och skyddsnivåer. ESV anser att det är olämpligt att lägga ansvaret för utveckling av krav och skyddsnivåer på en berednings- och remissfunktion. d) Utredningen anser att myndigheternas internrevision behöver utvecklas till att inkludera uppföljning och kontroll av myndigheternas informationssäkerhet samt att myndighetsledningens ansvar för att upprätthålla säkerhet i sin informationshantering börförtydligas genom ett författningsreglerat rapporteringskrav. (Sammanfattningen sidan 17.) 3 Värdmyndighet- Exempelvis statens servicecenter och ESV (Hermes, Avropa).

5/8 EKONOM!STYRNINGSVE RKET ESV delar inte bedömningen att regelverket för internrevision behöver utökas till att inkludera uppfoijning och kontroll av myndigheternas informationssäkerhet ESV vill här påpeka att ansvaret för myndighetens uppföljning och kontroll inte ligger på internrevisionen. Man brukar här tala om de tre ansvars linjerna. Första ansvarslinjen är den interna kontrollen i myndighetens operativa verksamhet. Den andra ansvarslinjen är myndighetens egen uppföljning och kontroll av den operativa verksamheten. Den tredje ansvarslinjen är internrevisionens granskning och bedömning av att den interna kontrollen och uppföljningen i myndigheten har fungerat på avsett vis. Internrevisionen ska med andra ord granska den interna uppföljningen och kontrollen, inte utföra den. Förslaget verkar bygga på missförstånd vad gäller internrevisionens roll och ansvar samt innebörden av den reglering som redan finns på plats. Det kan även vara så att utredningen har förväxlat de "interna revisioner" som ska genomföras enligt ISO 2700 l med statlig internrevision som ska genomföras enligt Internrevisionsförordning (2006: 1228). Enligt internrevisionsförordningens 6 ska internrevisionen omfatta den verksamhet som myndigheten bedriver och ansvarar för. Där ingår även informationssäkerhet Utredningen föreslår även att det i myndighetsförordningen (2007:515) införs ett tillägg for att förtydliga myndighetsledningens ansvar för att upprätthålla säkerheten i myndighetens informationshantering. (Avsnitt 9.2.5) ESV tillstyrker inte utredarens förslag då vi anser att det redan i dag framgår tydligt att myndighetens ledning ansvarar för hela myndighetens verksamhet inför regeringen (Myndighetsförordning (2007:515) 3 ). Informationssäkerhet ingår som en del av myndighetens verksamhet. ESV anser att informationssäkerhet redan innefattas i myndigheternas interna styrning och kontroll, så det är oklart vad förslaget med denna punkt i strategin tillför för nytt. Betänkandet tar upp också upp den nuvarande tolkningen på sidan 89: Utredningen föreslår att det i förordningen (2000:605) om årsredovisning och budgetunderlag införs en bestämmelse om att en tilläggsupplysning om genoml6rd internrevision och status för myndighetens informationssäkerhetsarbete ska lämnas i myndighetens årsredovisning. (Avsnitt 9.2.5) För de 67 internrevisionsmyndigheterna lämnar myndighetsledningarna redan i dag ett intygande i årsredovisningen att den interna styrningen och kontrollen är betryggande. ESV anser inte att det är sakligt motiverat att ha särskilda intyganden för enskilda områden när ett övergripande intygande redan lämnas. Om det finns brister inom området informationssäkerhet så bör det redan i dag redovisas som en brist i den interna styrningen och kontrollen. Det man däremot kan diskutera är om

6/8 EKONOM ISTYRN l NGSVERKET det finns ett behov av att myndigheterna lämnar en beskrivning av sitt informationssäkerhetsarbete i årsredovisningen och om antalet myndigheter som lämnar en bedömning av sin interna styrning och kontroll ska utökas. Utredningen föreslår att internrevisionen ska genomföra granskningar inom området informationssäkerhet varje år. (Avsnitt 9.2.5) Statlig internrevision utgår från risk och väsentlighet. Internrevisionen genomför en analys av myndighetens risker. Riskanalysen ska enligt god internrevisionssed även omfatta infonnationssäkerhet. 4 Utifrån riskanalysen tar internrevisionen fram ett förslag till revisionsplan. Revisionsplanen ska godkännas av myndighetens ledning. Myndighetsledningen kan göra en annan bedömning av myndighetens risker och besluta om ändringar i förslaget till revisionsplan. Internrevisionen brukar inte granska alla områden varje år men följer alltid upp att myndigheten har åtgärdat de iakttagelser som internrevisionen tidigare har rapp01terat. Det är myndighetsledningens ansvar, inte internrevisionens, att säkerställa att det finns en tillräcklig intern styrning och kontroll i myndighetens processer. Mot bakgrund av ovanstående avstyrker ESV förslaget om att internrevisionens årligen skulle granska informationssäkerhet staten ställer tydliga krav som upphandlare av tjänster som innehåller informationshantering eller av it-tjänster a) Utredningen anser att statlig upphandling på if-området bör innehålla hänvisning till för staten gällande standarder och krav på certifiering i de situationer där säkerhetsnivåer har fastställtsför respektive myndighet. ESV stöder förslaget att ta fram en standard för informationssäkerhet och att denna ska användas vid kravställning i upphandling. Detta görs dock redan idag i stor utsträckning. ESV tillstyrker också förslaget om att den nya upphandlingsmyndigheten får i uppdrag att stödja myndigheter i informationssäkerhetsfrågor kopplade till upphandling. b J Utredningen anser att Myndighetenför samhällsskydd och beredskap bör ges i uppdrag att ta.fram minimikrav på säkerhet i vanligtförekommande if-produkter som används av statliga myndigheter. Vad gäller förslaget att ta fram skyddsnivåer som anger minimikrav finns, som utredningen nämner, både för- och nackdelar. ESV anser att det är viktigt att beakta förslaget kan leda till att myndigheterna inte tänker på vad som är bäst i vatje enskild situation om det finns fårdiga säkerhetsåtgärder/skyddsnivåer. Samtidigt 4 1nternational Professional Practice Frarnework (IPPF) 2013, standard 2120.A1

7/8 EKONOM ISTYRNI NGSVERKET kan förslaget leda till att myndigheterna blir bättre som beställare på området. Ett alternativ skulle vara att ge MSB i uppdrag att stödja och vägleda upphandlande myndigheter istället för att ta fram färdiga skyddsprofiler. c) Utredningen anser att det bör införas krav på att rapportera vilken leverantör som en statlig myndighet har valt då ramavtal rörande il-lösningar används. ESV stöder inte i förslaget att det bör införas ett krav på att rapportera vilken leverantör en statlig myndighet valt då ramavtal rörande it-lösningar används. ESV har svårt att förstå vad syftet med ett sådant register skulle vara och vad det skulle bidra till. ESV menar också att det inte är helt okomplicerat för den myndighet som ska ta emot all rapportering att hålla registret uppdaterat. d) Utredningen anser att när det gäller tjänster och produkter som ska användas för kommunikation inom staten bör upphandlande myndighet överväga mf!jligheten arr tillämpa lagen om upphandling på försvars- och säkerhetsområdet, om upphandling enligtlagen om offentlig upphandling inte medger att nödvändiga krav ställs. ESV ställer sig frågan om inte ett överdrivet användande av LUFS kan komma att motverka vissa syften med offentlig upphandling, bland annat vad gäller god konkurrens. Konsekvensutredningen ESV har följande synpunkter på utredningens konsekvensutredning: a) Utredningen föreslår att förslaget finansieras genom en omdisponering av medel fi'ån utgiftsområdena 06, 02 eller 22. (Sammanfattningen sidan 20.) Någon närmare precisering av varifrån eller hur denna omdisponering ska göras har inte lämnats. Utan att en närmare precisering av hur medel ska omdisponeras kan inte frågan om finansiering av lämnade förslag anses vara behandlade i tillräcklig omfattning av utredningen. ESV anser att det kommer att innebära att mycket resurser tillförs för att ta fram skyddsnivåer samtidigt som det egentliga skyddet och medföljande kostnader uppstår hos respektive myndighet där också ansvaret ligger. Det är oklart vad den egentliga kostnaden kommer att vara. Under avsnitt l 0.2.1 står även att en nationell styrmodell förutsätter en väl utvecklad kunskapsstyrning. Kunskapsstyrning måste antas innebära kunskapsöverföring i någon form. Kunskapsöverföringen innebär normalt ett ökat resursbehov både för den personal som ska överföra kunskap men även för framtagandet av informations- och utbildningsmaterial

8/8 EKONOM ISTYRNI NGSVERKET Det är inte möjligt att ta ställning till de kostnadsbedömningar vad gäller MSB som utredningen har lämnat i konsekvensanalysen. I konsekvensutredningen antas det finnas behov av ett visst antal tjänster för att hantera en ökad arbetsbelastning på MSB. För att kunna bedöma om dessa kostnadsökningar är rimliga finns det ett behov av att ta del av de beräkningar kopplade till den ökade arbetsbelastningen (antal ärenden, tid per ärende m.m.) som de ökade arbetsuppgifterna genererar. En ytterligare precisering av beräkningarna som ligger bakom bedömningarna vore värdefullt att få ta del av. ESV anser att kostnaden för expe11stödet till andra myndigheter borde ha särredovisats i konsekvensanalysen. Generaldirektör Mats Wikströmhar beslutat i detta ärende. Utredare Annika Alexandersson har varit föredragande. I beredningen har också avdelningschef Eva Lindblom, avdelningschef Peter Ö h len, informationssäkerhetsansvarig Anne Samuelsson, utredare Karolin Knutsen-Öy, utredare Patrick Freedman och enhetscheftina J Nilsson medverkat.!{hu/~ Mats Wikström Generaldirektör ( Annika Alexandersson Utredare

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss