Dir. 2010:104

Ny organisationsstruktur för stödet till FM

Kommittédirektiv

Tilläggsdirektiv till utredningen om ny organisationsstruktur för stödet till Försvarsmakten (Fö 2010:01)

Beslut vid regeringssammanträde den 14 oktober 2010

Utvidgning av uppdraget

Med stöd av regeringens bemyndigande den 29 april 2010 har chefen för Försvarsdepartementet gett en särskild utredare i uppdrag att lämna förslag på hur reduceringar kan genomföras av Försvarsmaktens logistikverksamhet och det stöd till Försvarsmakten som Försvarets Materielverk, Försvarshögskolan och Totalförsvarets forskningsinstitut lämnar när det gäller materiel- och logistikförsörjning samt forskning och utveckling (dir. 2010:45).

Regeringen ger nu utredningen i uppdrag att utöver detta lämna förslag på fortsatt lokalisering av Sveriges certifieringsorgan för IT-säkerhet (CSEC) samt vilken myndighet som ska ansvara för signatärskapet för Common Criteria Recognition Arrangement (CCRA). Tilläggsuppdraget ska redovisas senast den 1 april 2011.

Lokalisering av CSEC och placering av ansvar för signatärskapet för CCRA

Regeringen fattade den 19 november 2009 beslut att uppdra åt en särskild utredare att utreda formerna och konsekvenserna av att flytta ansvaret för dels Sveriges IT-incidentcentrum (Sitic) från Post- och telestyrelsen, dels CSEC från Försvarets materielverk (dir. 2009:110). Enligt kommittédirektivet skulle

verksamheterna inordnas i antingen Myndigheten för samhällsskydd och beredskap eller Försvarets radioanstalt. Utredaren skulle undersöka vilken av dessa två myndigheter som bedömdes bäst lämpad att vara ansvarig utifrån de behov och målsättningar som regeringen angett när det gäller bl.a. ett samlat ansvar för informationssäkerhetsfrågorna. Utredaren skulle också föreslå en myndighet att vara signatär för de internationella organen CCRA och SOGIS-MRA (Senior Officials Group Information Systems Security – Mutual Recognition Agreement) vilket bl.a. innebär att underteckna fördrag. I dag är Myndigheten för samhällsskydd och beredskap signatär för CCRA och Försvarets materielverk för SOGIS-MRA.

Den 31 mars 2010 lämnade utredaren betänkandet Viss översyn av verksamhet och organisation på informationssäkerhetsområdet (SOU 2010:25) i vilket bl.a. föreslogs att verksamheten vid CSEC inte borde flyttas från Försvarets materielverk. Utredaren föreslog att CSEC:s fortsatta hemvist i stället borde prövas inom ramen för arbetet i den genomförandekommitté som regeringen avsåg att tillsätta med utgångspunkt från Stödutredningens förslag. Utredaren ansåg att det inom ramen för detta uppdrag borde prövas huruvida CSEC skulle överföras till en annan myndighet.

Utredaren föreslog också att signatärskapet för CCRA och SOGIS-MRA borde utövas av den myndighet som är certifieringsorgan. Förslaget innebär att signatärskapet för CCRA skulle överföras från Myndigheten för samhällsskydd och beredskap till Försvarets Materielverk, som även har signatärskapet för SOGIS-MRA

Utredaren konstaterade att det, mot bakgrund av regeringens aviserade genomförandekommittéer, som inkluderar översyn av berörda myndigheters verksamheter och roller, vore en fördel att avvakta i frågan om CSEC:s framtida hemvist.

Ansvaret för informationssäkerhet på nationell nivå är idag uppdelat på ett flertal myndigheter. Regeringen framförde i budgetpropositionen för 2010 (prop. 2009/10:1) samt i skrivelsen Samhällets krisberedskap – stärkt samverkan för ökad säkerhet (rskr. 2009/10:124) att ansvaret för

informationssäkerhet borde samlas på ett mindre antal aktörer för att uppnå bättre styrning och samordning.

Tilläggsuppdraget

Utredaren ska lämna förslag på fortsatt lokalisering av CSEC samt vilken myndighet som ska ansvara för signatärskapet för CCRA. Förslagen ska beakta gällande regler kring teknisk kontroll och principen om kontrollordningar i öppna system.

Utredaren ska i sitt arbete beakta de förslag som Informationssäkerhetsutredningen (dir. 2009:110) lämnade avseende lokaliseringen av CSEC. Utredaren ska även ta hänsyn till den nya organisationsstruktur som blir resultatet av utredningens huvuduppdrag. Regeringskansliet (Försvarsdepartementet och Näringsdepartementet) ska hållas informerat om arbetet med anledning av tilläggsuppdraget.

Inriktningen är att minska antalet aktörer på informationssäkerhetsområdet.

Uppdraget ska redovisas senast den 1 april 2011.

(Försvarsdepartementet)