Dir. 2003:29
Tilläggsdirektiv till utredningen angående vissa frågor om informationssäkerheten i samhället (Fö 2002:06)
- ----
Beslut vid regeringssammanträde den 20 februari 2003
Sammanfattning av uppdraget
Utredningen angående vissa frågor om informationssäkerheten i samhället skall lämna förslag till hur den nationella strategin för informationssäkerhetsarbetetbör utvecklas samt hur Sveriges engagemang i det internationella arbetet inom informationssäkerhetsområdet skall utformas. I propositionen Samhällets säkerhet och beredskap (prop. 2001/02:158 s. 105) anmälde regeringen sin avsikt att göra en utvärdering av de bedömningar som regeringen gjorde inom informationssäkerhetsområdet. Utredaren skall följa myndigheternas uppbyggnad av den informationssäkerhetsverksamhet som regeringen har givit myndigheterna i uppgift enligt propositionen. Utredaren skall vidare lämna förslag till hur OECD:s riktlinjer om nät- och informationssäkerhet kan genomföras.
Bakgrund
Med stöd av regeringens bemyndigande den 11 juli 2002 (dir. 2002:103) tillkallade chefen för Försvarsdepartementet en särskild utredare med uppdrag att föreslå hur signalskyddsverksamheten i samhället skall utformas. Utredaren skall enligt direktiven lämna en delrapport avseende detta uppdrag den 28 februari 2003. Regeringen angav i direktiven att den avsåg att återkomma med tilläggsdirektiv angående uppdrag att lämna förslag till hur den nationella strategin för informationssäkerhetsarbetet bör utvecklas och till hur Sveriges engagemang i det internationella arbetet inom informationssäkerhetsområdet bör utformas i framtiden.
OECD (Organisation for Economic Co-operation and Development) antog den 25 juli 2002 en rekommendation om nya riktlinjer för nät- och informationssäkerhet (OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security). Riktlinjerna syftar till att stödja utvecklingen av en säkerhetskultur i samhället genom att främja säkerhetstänkande vid utveckling och användning av nät och informationssystem. Riktlinjerna innehåller mål och principer för utvecklingen av nya nät och informationssystem.
Uppdraget
En utvecklad svensk informationssäkerhetsstrategi
Utredaren skall i det fortsatta arbetet, utöver det tidigare lämnade uppdraget, även lämna förslag till hur den nationella strategin för informationssäkerhetsarbetet bör utvecklas. Den i prop. 2001/02:158 s. 103 redovisade strategin för informationssäkerhetsarbetet skall utgöra grunden.
Utredaren skall göra jämförelser med hur andra länder har hanterat informationssäkerhetsfrågan när det gäller strategi, organisation och andra förhållanden som kan vara relevanta.
I sitt arbete skall utredaren beakta OECD:s riktlinjer för nät- och informationssäkerhet och lämna förslag till hur riktlinjerna kan genomföras i utredarens förslag.
Följande frågor skall besvaras.
- Hur bör den nationella strategin för informationssäkerhet vidareutvecklas?
- Hur säkerställs att den nationella strategin för informationssäkerhet möter de krav som ställs via det multinationella samarbete Sverige deltar i, främst EU?
- Utifrån en nationell strategi behöver den nuvarande samordningen av Sveriges engagemang i det internationella arbetet inom informationssäkerhetsområdet förändras?
- Inom vilka delar av informationssäkerhetsområdet bör staten ha ett särskilt ansvar?
- Hur skall informationssäkerhetsarbetet finansieras?
Utvärdering förutskickad i prop. 2001/02:158
I propositionen Samhällets säkerhet och beredskap (prop. 2001/02:158 s. 105) redovisade regeringen att de nya uppgifterna på informationssäkerhetsområdet skulle fördelas på de myndigheter som redan hade närliggande verksamhet. Regeringen anmälde också att man hade för avsikt att göra en utvärdering av denna fördelning av uppgifterna inom informationssäkerhetsområdet. Regeringen uteslöt inte att det skulle kunna finnas andra organisatoriska lösningar eller andra verksamheter inom informationssäkerhetsområdet som skulle kunna behövas ses över.
Som en förberedelse inför denna utvärdering skall utredaren skapa sig en god uppfattning av det ändamålsenliga i propositionens bedömningar att dela upp de nya uppgifterna genom att följa uppbyggnaden av verksamheten inom informationssäkerhetsområdet vid Krisberedskapsmyndigheten, Försvarets radioanstalt, Förvarets materielverk och Post- och telestyrelsen, inklusive den sistnämnda myndighetens uppdrag att inrätta en rikscentral för IT-incidentrapportering. Regeringen avser att återkomma till frågan om utvärderingen.
Författningsfrågor
Om utredaren finner att det finns ett behov av att föreslå författningsändringar skall utredaren lämna lagtekniskt genomarbetade förslag vid varje rapporteringstillfälle.
I detta arbete skall gränsdragningsfrågor särskilt beaktas gentemot den översyn av de rättsliga aspekterna, inklusive de internationella, på området för informationssäkerhet som Justitiedepartementet avser att låta genomföra (jfr. prop. 2001/02:158 s. 106).
I den mån det uppkommer frågor som rör behandling av personuppgifter skall de bestämmelser om skydd för den personliga integriteten vid behandling av sådana uppgifter som bl.a. finns i personuppgiftslagen (1998:204) och EG-direktivet om personuppgifter (95/46/EG) beaktas.
Utredningsarbetet
I sitt arbete skall utredningen ta hänsyn till OECD:s riktlinjer för nät- och informationssäkerhet.
Utredningen skall bedriva arbetet i nära samarbete med Rikspolisstyrelsen, Säkerhetspolisen, Datainspektionen, Statskontoret, Försvarsmakten, Försvarets radioanstalt, Försvarets materielverk, Krisberedskapsmyndigheten, Totalförsvarets forskningsinstitut och Post- och telestyrelsen. Utredningen skall också ta de kontakter som behövs med viktiga IT-användare och andra intressenter, både inom den offentliga sektorn och i näringslivet, för att få en bild av vilka roller de spelar i informationssäkerhetsarbetet, deras behov och önskemål.
Utredningen skall utöver det som angavs i direktiven (2002:103) om att slutrapport skall lämnas senast 6 maj 2005 också lämna en delrapport angående uppdragen i detta tilläggsdirektiv senast den 1 mars 2004.
(Försvarsdepartementet)