Informationssäkerhet för samhällsviktiga och digitala tjänster

Betänkande 2017/18:FöU14

  1. 1, Förslag, Genomförd
  2. 2, Beredning, Genomförd
  3. 3, Debatt, Genomförd
  4. 4, Beslut, Genomförd

Ärendet är avslutat

Beslutat
13 juni 2018

Utskottens betänkanden

Betänkanden innehåller utskottens förslag till hur riksdagen ska besluta i olika ärenden. 

Hela betänkandet

Beslut

Större säkerhetskrav införs för leverantörer av digitala tjänster (FöU14)

Leverantörer av samhällsviktiga, digitala tjänster får nya krav när det gäller informationssäkerhet. Det införs bland annat krav på att leverantörerna systematiskt ska arbeta med informationssäkerhet och att de ska rapportera incidenter som kan påverka kontinuiteten i tjänsterna. Den nya lagen omfattar bland annat de som levererar digitala tjänster till sjukvården, banker, energi- och transportsektorn.

Regeringen ansvarar för att utse en tillsynsmyndighet som ska säkerställa att de nya lagkraven följs.

Riksdagen sa ja till regeringens förslag. Förslaget bygger på EU-regler och syftet är att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU.

Den nya lagen börjar gälla den 1 augusti 2018.

Utskottets förslag till beslut
Bifall till propositionen. Avslag på motionerna.
Riksdagens beslut
Kammaren biföll utskottets förslag.

Ärendets gång

Beredning, Genomförd

Senaste beredning i utskottet: 2018-05-24
Justering: 2018-05-31
Trycklov: 2018-06-01
Reservationer: 4
Betänkande 2017/18:FöU14

Alla beredningar i utskottet

2018-05-17, 2018-05-22, 2018-05-24

Större säkerhetskrav införs för leverantörer av digitala tjänster (FöU14)

Leverantörer av samhällsviktiga, digitala tjänster får nya krav när det gäller informationssäkerhet. Det införs bland annat krav på att leverantörerna systematiskt ska arbeta med informationssäkerhet och att de ska rapportera incidenter som kan påverka kontinuiteten i tjänsterna. Den nya lagen omfattar bland annat de som levererar digitala tjänster till sjukvården, banker, energi- och transportsektorn.

Regeringen ansvarar för att utse en tillsynsmyndighet som ska säkerställa att de nya lagkraven följs.

Försvarsutskottet föreslår att riksdagen säger ja till regeringens förslag. Förslaget bygger på EU-regler och syftet är att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU.

Den nya lagen föreslås börja gälla den 1 augusti 2018.

Beslut är fattat. Se steg 4 för fullständiga förslagspunkter.

Debatt, Genomförd

Bordläggning: 2018-06-08
Debatt i kammaren: 2018-06-11

Dokument från debatten

Protokoll från debatten

Anf. 68 Mikael Oscarsson (KD)

Fru talman! I eftermiddag diskuterar vi försvarsutskottets betänkande som handlar om informationssäkerhet för samhällsviktiga och digitala tjänster. Jag vill inledningsvis yrka bifall till Kristdemokraternas reservation nr 1.

Informationssäkerhet för samhällsviktiga och digitala tjänster

Det här är frågor som blir alltmer aktuella. FRA har vid flera tillfällen visat att det här är någonting som ökar, och man har visat siffror på att det görs 10 000 cyberattacker per månad av utländsk makt mot Sverige. Det är ett billigt sätt, tyvärr, att kunna få Sverige på fall. Därför är det viktigt att vi stärker cybersäkerheten.

Att det här hotet mot den svenska cybersäkerheten finns är i dag välbekant. Attackerna kan begås av kriminella, terrorister eller stater med en fientlig inställning mot Sverige. NIS-direktivet, som det här betänkandet handlar om, innebär att viktiga steg har tagits på EU-nivå för att stärka cybersäkerheten. Jag delar regeringens uppfattning att en ny lag krävs för att adekvata säkerhetsåtgärder ska kunna vidtas. Jag menar dock att regeringens förslag också innebär en fragmentering av det svenska arbetet med cybersäkerheten och att det minskar vår förmåga att skydda oss mot de aktuella hoten.

Cybersäkerhet är en expertkunskap, och den kunskapen behöver samlas på en plats. Jag anser därför att en svensk cybersäkerhetsmyndighet behöver inrättas och att myndigheten bör ges tillsynsansvar i frågor som gäller cyber- och informationssäkerhet, att myndigheten bör ges ett ansvar för att ta fram de föreskrifter som ska styra svenskt cyber- och informationssäkerhetsarbete och att myndigheten bör ges ett operativt ansvar för att implementera dessa föreskrifter.

Det vi har sett än så länge är att de cyberattacker som har gjorts mot Sverige på ett sätt har varit ganska skonsamma. Jag tror tyvärr att vi inte alltför långt in i framtiden kommer att kunna se betydligt större cyberattacker.

Vad är det då för saker och ting som skulle kunna hända? Här i Stockholm skulle till exempel kollektivtrafiken kunna drabbas av stillastående en hel dag genom att spärrar, biljettsystem eller signalsystem angrips av ett kidnappningsvirus. Att betala med bankkort i butiker kan vara omöjligt under ett par dagar på grund av attacker på betalningsinfrastrukturen. Elförsörjningen skulle temporärt kunna slås ut till industrier och hushåll. Det är precis vad som har hänt två år i rad i Ukraina i och med ryska cyberattacker. Hälso- och sjukvård kan förhindras att utföras på grund av cyberangrepp. Det har vi sett i Uppsala där jag kommer från. Datorer har låsts, vilket har hindrat operationer från att genomföras.

Främmande makt kan genom angrepp ta del av information som flödar i Sveriges it- och kommunikationssystem, vilket kraftigt försämrar Sveriges utsikt att försvara oss i händelse av krig. Det här är någonting som Riksrevisionen flera gånger har påvisat. Det är alldeles för lätt för utländsk makt eller grupper att ta information från svenska myndigheter. Det här behöver vi rätta till. Därför föreslår vi att ett helhetsgrepp om cybersäkerhetsfrågan tas för den civila sidan av samhället genom att vi skapar en cybersäkerhetsmyndighet. Det har gjorts i andra länder. Här är det nu sju myndigheter som delar på ansvaret, och med NIS-direktivet kommer det att bli ytterligare sex myndigheter. Det blir alldeles för många, och det blir alldeles för lätt att saker ramlar mellan stolarna. I Israel var det förut två myndigheter som hade ansvaret, men man sa att det var för mycket och att det måste vara en myndighet som tar huvudansvaret.

STYLEREF Kantrubrik \* MERGEFORMAT Informationssäkerhet för samhällsviktiga och digitala tjänster

Så tycker vi alltså också, och det är därför som vi har den här reservationen. Vi menar att det här skulle stärka cybersäkerheten.


Anf. 69 Mikael Jansson (-)

Fru talman! För tids vinnande yrkar jag bifall endast till reservation 2.

It-säkerhet har varit ett buzzword i flera år i försvars- och säkerhetsdebatten. Tusentals gånger har begreppet förts på tal, men bara sällan har något konkret förts fram. Icke förty är it-säkerheten viktig på riktigt. Itsäkerheten är viktig för totalförsvarets funktion. Även om vårt land angrips redan i fredstid med it-baserat sabotage och stölder är det ändå totalförsvarets funktion som måste vara dimensionerande. Vi måste ta tag i detta och lyfta fram bättre och säkrare infrastruktur för en större it-säkerhet.

Eftersom Sverige är ett militärt alliansfritt land är det nationella åtgärder som måste vara i fokus. I detta betänkande ska EU:s direktiv, NIS, implementeras i svensk lag. Vi vet alla att EU inte bara är ett samarbete utan är överstatligt och att mycket av beslutsrätten är överförd från medlemsstaterna. Vi har nu helt enkelt att införa NIS-direktivet. Det är först när EU kraschar som vi får tillbaka vår beslutskraft igen. Då blir samarbeten av detta slag mellanstatliga.

Jag anser att Sverige som land kan vara mer ambitiöst än vad NIS-direktivet är på flera områden. Informationssäkerhet är ett svenskt nationellt säkerhetsintresse som dessutom är nära förbundet med utvecklandet av ett totalförsvar. I dagsläget använder myndigheter olika it-plattformar och serviceorganisationer. Det gör att Sverige i ett totalförsvarsperspektiv saknar möjligheten att säkerställa en robust funktion hos myndigheternas datanätverk.

Jag anser att staten, genom delar av totalförsvaret, bör tillhandahålla itstandardplattformar och en sammanhållen serviceorganisation för myndigheter med kritiska it-system. Och en myndighet som bygger it-plattformar och servicemallar åt de svenska myndigheterna bör ha anställda som är säkerhetsklassade svenska medborgare. Myndigheten bör inte utveckla teknik - det gör marknaden - men tekniken bör klassas och anpassas.

Ett stort problem med it-säkerheten är att vi är så beroende av World Wide Web. Internet som vi känner det kommer aldrig att bli säkert. Tekniken är en garant för att så aldrig kommer att bli fallet. Experterna säger dock att det är möjligt att bygga nya internet som är helt säkra. Då måste grundtekniken vara annorlunda.

Eftersom Sverige äger särskild tillverkningskompetens för mikrosatelliter bör det utredas om sådana skulle kunna vara kärnan i ett svenskt säkert myndighetsnätverk. Kostnadsdelning bör kunna sökas med de nordiska grannländerna.

It-säkerhet är ett svenskt nationellt säkerhetsintresse som dessutom är nära förbundet med utvecklandet av ett totalförsvar. Som ett militärt alliansfritt land bör vi inte okritiskt tillhandahålla vår säkerhetsklassade information till EU. Jag anser därför att det bör säkerställas att säkerhetsklassad information av betydelse för svensk säkerhet inte automatiskt ska komma EU:s institutioner till handa.

Många medlemsländer betraktar EU:s säkerhetsinstitutioner som osäkra och oseriösa. Länder byter och handlar med underrättelser. Det är ofrånkomligt. Men det bör ske med återhållsamhet och bara med trovärdiga motparter. Om vi ger EU underrättelser, vilka får sedan ta del av dem?

STYLEREF Kantrubrik \* MERGEFORMAT Informationssäkerhet för samhällsviktiga och digitala tjänster

Fru talman! Låt Sverige behålla kontrollen över vår informationssäkerhet! Och låt oss bygga ut vår informationssäkerhet, främst till gagn för totalförsvaret!

Vi kan lida med NIS-direktivet. Det handlar snarare om vad mer som bör göras för att ta de nödvändiga stegen framåt.


Anf. 70 Allan Widman (L)

Fru talman! Innan jag inleder vill jag göra ett påpekande med anledning av det Mikael Jansson nyss sa i talarstolen. Det är på det sättet att information som omfattas av den svenska säkerhetsskyddslagen inte inbegrips i den informationsplikt som gäller enligt NIS-direktivet. Uppgifter som rör rikets säkerhet kommer alltså inte att lämnas ut till andra länder utan att det har gjorts en laglig prövning i enskilt fall.

Till skillnad från Mikael Jansson tycker jag som liberal att det är bra att EU har engagerat sig för informationssäkerheten. För ett år sedan var det EU som såg till att Sverige fick en incidentrapportering som nu gäller för de statliga myndigheterna. Och det vi har på bordet här i dag är det så kallade NIS-direktivet, fru talman. Med det tas ytterligare steg när det gäller att stärka medlemsländernas cyber- och informationssäkerhet inom unionen.

Precis som Mikael Oscarsson var inne på står de här frågorna högt på dagordningen i dag. Inte minst det haveri i Transportstyrelsen som vi upplevde förra sommaren har medverkat till detta. Att det under ett och ett halvt års tid pågick läckage av uppgifter som var belagda med sekretess, trots att flera ansvariga ministrar hade full kännedom om saken, aktualiserar frågor om krismedvetenhet, säkerhetsmedvetenhet och inte minst samordning.

I beredningen av det här ärendet ställde försvarsutskottet en fråga till inrikesministerns statssekreterare, Charlotte Svensson. Frågan löd: Hur ser ansvarsfördelningen ut inom svensk statsförvaltning när det gäller cyber och informationssäkerhet? Det räckte inte med en Powerpoint för att åskådliggöra detta. Det är en lång rad myndigheter som har tillsynsplikt och föreskriftsrätt inom området.

Man ska också villigt erkänna att det har hänt en del de senaste åren. Det är numera Försvarsmakten, för de militära myndigheterna, och Säpo, för de civila myndigheterna, som har möjlighet att stoppa så kallad outsourcing. Med det nya NIS-direktivet får vi också sju nya tillsynsmyndigheter som ska vara ansvariga för en sektor vardera i det svenska samhällslivet. Det är väl lite av en ironi att en av dessa tillsynsmyndigheter faktiskt är Transportstyrelsen, fru talman.

Vid sidan av tillsynsstrukturen har varje myndighet naturligtvis själv ett ansvar för sin informations- och cybersäkerhet.

Statssekreterarens redogörelse berörde också ett organ som kallas Samfi, Samarbetsgruppen för informationssäkerhet. Där ingår en lång rad centrala myndigheter på området. Det är FRA, Säkerhetspolisen, Försvarets materielverk, Post- och telestyrelsen och naturligtvis MSB. Den här gruppen har arbetat under ganska många år nu med att ta fram hjälp, stöd och enkla åtgärder för myndigheter att följa när det gäller säkerheten. Statssekreteraren berättade också att den här samarbetsgruppen nu ska bli ett myndighetsråd och få en fastare kontur och större befogenheter på nationell nivå. Man ska också få ett kansli på MSB.

STYLEREF Kantrubrik \* MERGEFORMAT Informationssäkerhet för samhällsviktiga och digitala tjänster

Alliansen har i ett särskilt yttrande understrukit vikten av att regeringen skyndar på arbetet med att ge Samfi bättre muskler och större befogenheter. Det finns ingen anledning att vänta med en bättre samordning på just den nationella nivån, fru talman.

Kristdemokraterna vill ha en cybersäkerhetsmyndighet. Det låter som ett kraftfullt förslag. Tro mig, fru talman! Om man ska ha en myndighet som är ensam ansvarig för all cybersäkerhet i offentlig förvaltning kommer det att bli en mycket omfattande myndighet. Och så stora myndigheter brukar visa sig vara ganska trögrörliga.

Vi har ansvarsprincipen som grund i den svenska krishanteringen. Min bedömning är att man inte kan centralisera ansvaret så långt som Kristdemokraterna föreslår. Jag brukar inte säga det; men jag är inte särskilt attraherad av just den idén.

Fru talman! Det här är åtminstone för mig den sista debatten med försvarsutskottet den här mandatperioden. Jag vill därför tacka samtliga ledamöter för ett gott samarbete.

Fru talman! Jag vill också yrka bifall till utskottets förslag i betänkandet.


Anf. 71 Kalle Olsson (S)

Fru talman! Informationssäkerhet är inget som det ankommer på en ensam myndighet att ta ansvar för. Kanske fanns en tid när så var fallet, när it fortfarande var en nymodighet och ett smalt intresse och hade en begränsad användarkrets.

I dag är läget som bekant ett annat, ett helt annat. Cyberattacker är en realitet som drabbar i stort sett alla samhällets sektorer. Spionage bedrivs i stor utsträckning genom elektronisk inhämtning, och dagens och alldeles säkert morgondagens krig och konflikter kommer på olika sätt att utspela sig i cybermiljön.

Fru talman! Mot den bakgrunden måste man säga att NIS-direktivet är både välkommet och viktigt. Direktivet, eller dess svenska uttolkning, lagen om informationssäkerhet för samhällsviktiga och digitala tjänster, syftar till att uppnå en hög säkerhetsnivå i nätverk och informationssystem för digitala tjänster samt samhällsviktiga tjänster. Med den här lagstiftningen på plats har vi ett ramverk som innebär att både offentliga och privata aktörer måste skärpa sitt informationssäkerhetsarbete.

Lagförslaget ligger väl i linje med både den försvarspolitiska inriktning som antagits här i Sveriges riksdag och Nationell informations- och cybersäkerhetsstrategi, som antogs av regeringen 2017.

NIS-direktivet är en produkt från Europeiska unionen. EU är i sig en integrerad marknadsplats där varor, tjänster och människor ska kunna röra sig fritt över gränserna. Det övergripande syftet med direktivet är att bygga upp tillit och förtroende mellan medlemsländer och mellan olika aktörer genom att uppnå en hög säkerhetsnivå.

Från ett nationellt perspektiv innebär denna lagstiftning att ett bredare grepp tas om it-säkerhetsfrågorna i och med att specifika sektorer pekas ut: Det handlar om energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur.

STYLEREF Kantrubrik \* MERGEFORMAT Informationssäkerhet för samhällsviktiga och digitala tjänster

Samtliga av dessa områden känner vi igen från det pågående arbetet med det civila försvaret. Det handlar alltså om grundläggande funktioner för att det moderna samhället ska fungera.

Konkret innebär den nya lagstiftningen att leverantörer av samhällsviktiga och digitala tjänster ska vidta åtgärder för att uppnå ett tillräckligt säkerhetsskydd i sina system. Vad är då samhällsviktiga tjänster? Utgångspunkten är att det handlar om leverantörer som tillhandahåller tjänster som är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten.

Om man tycker att det där låter krångligt, fru talman, finns det en upprättad förteckning över vilka verksamheter som omfattas och anses tillhandahålla just samhällsviktiga tjänster.

Bland annat ska dessa leverantörer göra en riskanalys som ska ligga till grund för val av säkerhetsåtgärder. I analysen ska det ingå en åtgärdsplan. Åtgärdsplanen ska analyseras och uppdateras årligen. Leverantörerna ska också, i likhet med den obligatoriska it-incidentrapportering som sedan två år gäller för samtliga statliga myndigheter, rapportera incidenter som påverkar kontinuiteten i tjänsterna.

Det ska samtidigt inte stickas under stol med att många företag och organisationer just nu upplever en tung period med nya regleringar rörande deras förmåga att skydda information och skydda kunders integritet. Nyligen infördes nya personuppgiftsregler, mer känt som GDPR, och nu kommer alltså NIS-direktivet.

Det finns emellertid goda och välmotiverade skäl bakom båda regleringarna. Vi måste dimensionera vår mot motståndskraft i förhållande till den hotbild som vi möter.

Fru talman! Avslutningsvis: Den som har följt den försvarspolitiska debatten under senare år vet att informations- och cybersäkerhet har fått en alltmer framträdande roll. Exempel från vår omvärld, men också från Sverige, visar cybervapnets potential att skada och rent av tvinga ned samhällen på knä. Vi har också sett hur slarv och handhavandefel fått väldigt negativa konsekvenser.

Och lika självklart som det är att inkludera det privata näringslivet i det fortsatta arbetet med totalförsvarsplanering är det att ställa tydliga krav på leverantörer av samhällsviktiga tjänster att hålla en hög säkerhetsnivå i sina it-system.


Anf. 72 Beatrice Ask (M)

Fru talman! Sårbarheten i våra it-system och när det gäller digitala tjänster är uppenbar. Man skulle kunna använda lång tid till att beskriva det, men jag ska inte göra det.

Det här är en försvarsfråga som försvarsutskottet har hand om, men det rör också i allra högsta grad det civila samhället i fredstid. Åtminstone handlar det om de åtgärder som borde vidtas.

Utvecklingen av elektronisk informationsöverföring går så snabbt att det är svårt att hänga med. Den rapportering som Myndigheten för samhällsskydd och beredskap får in visar i sin senaste version att knappt en tredjedel av de rapportskyldiga myndigheterna har lämnat in rapporter om en eller flera incidenter. Man kan tycka att det är bra i tron att det verkligen inte händer så mycket över huvud taget. Samtidigt måste man ifrågasätta om detta verkligen stämmer med verkligheten med tanke på att FRA uppskattar att svenska mål utsätts för 10 000 aktiviteter per månad bara från utlandet. Så det stämmer inte riktigt.

STYLEREF Kantrubrik \* MERGEFORMAT Informationssäkerhet för samhällsviktiga och digitala tjänster

Det visar att vanan eller förmågan hos myndigheterna att rapportera problem fortfarande är låg. Det är fortfarande otydligt för myndigheterna vad som ska rapporteras in. Det finns egentligen ingen definition av vad som menas med allvarliga incidenter. Det får var och en lista ut själv, och då får man det man får.

Men de som gjort det och anmält anger att i 43 procent av fallen har det lett till begränsade störningar i verksamheten. 18 procent säger att effekten är stora störningar. Det är väl i allmänhet vanligt folk och verksamheter som drabbas av detta. Men det är alltså otydligt hur omfattande problemen är.

Vad handlar det om? Ja, det är kryptotrojaner, vd-bedrägerier och överbelastningsattacker. Vd-bedrägerier innebär att man utger sig för att vara vd och får folk att göra saker. Vem är avsändaren? Ja, det kan också variera. Vi har de utländska kontakterna, men vi har också en hel del inhemsk verksamhet. Dessutom finns det rätt många pigga ungdomar.

Det som man kan konstatera och det som är viktigt i det här sammanhanget är att med ett bättre säkerhetsarbete skulle vi kunna stoppa eller i vart fall minska problemen radikalt.

EU har genom NIS-direktivet angett vad som måste vara en mininivå av nationell kapacitet, och det är väl bra att man gör det. Det ska finnas en nationell strategi för behöriga myndigheter. Det ska också finnas en organisation för hantering av it-incidenter och en kontaktpunkt för gränsöverskridande samarbete.

Genom att inarbeta detta i svensk lag kommer det att gälla också i Sverige, vilket dagens ärende handlar om. Vilka sektorer som det handlar om har vi ju redan hört här i debatten.

Det kan konstateras att en del av det som NIS-direktivet kräver har kommit på plats i Sverige. Med dagens ärende tar vi ett ytterligare viktigt steg. Men beslut i kammaren är en sak. Det slår mig att vi väldigt sällan tänker på det. Vad vi beslutar är inte verkligheten. Det är först när det är genomfört och i praktiken fungerar som vi har nått resultat. Här finns det mycket att göra.

Dessa beslut ska genomföras, vårdas och förvaltas över tid. Det är långt ifrån tillräckligt. På alla nivåer krävs det ett intresse och en vilja att säkerställa att it-baserade verksamheter är att lita på.

I februari deltog jag i cyberförsvarsdagen, en årligt återkommande dag med föreläsningar och diskussioner om it och säkerhet. I en paneldiskussion deltog en medarbetare från FRA som arbetar med att granska incidenter. Han arbetar också med säkerheten i it-system hos myndigheter och företag. Hans budskap var egentligen ganska enkelt: Om man följer råden från dem och gör som man ska göra skulle riskerna vara mindre. Men vi har inte ens infört det som man sa på 90-talet, konstaterade han.

I ett annat samtal under den dagen träffade jag också andra, och ett starkt intryck där var att frågor om it-säkerhet ofta lämnas till myndighetens säkerhetsavdelning - punkt. Där finns det ofta hög expertkunskap, och det är bra i sig. Men när enheterna och avdelningarna lämnar sina äskanden eller propåer hanteras de på ledningsnivå som alla andra frågor från alla andra delar av verksamheten.

STYLEREF Kantrubrik \* MERGEFORMAT Informationssäkerhet för samhällsviktiga och digitala tjänster

En liten enhet med abstrakta och tekniska frågor får sällan det öra från cheferna som skulle behövas. Därmed händer det väldigt lite. Vi har påpekat brister år efter år, sa man till mig. Vi försöker att framföra vad som borde göras, men det händer ingenting.

Fru talman! It-frågor och it-säkerhetsfrågor är ofta tekniska och abstrakta. Många av oss förstår mycket litet av hur det tekniskt fungerar. Vi överlåter åt tekniker att sköta saken och det är förmodligen bra på sitt sätt. Men vi lyssnar för dåligt på deras råd eller också förstår vi dem inte. Som samhället och därmed olika verksamheter har utvecklats duger det inte. Frågorna om it-systemen och säkerheten måste upp på ledningsnivå. Skador och brister som kan uppstå leder till kostnader och problem som är alldeles för stora.

Här innebär EU-direktivet en del positiva saker. Incidentrapportering har vi satt på plats. Det är bra, för information samlas då in, struktureras och blir därmed intressant och gripbart för chefer. Krav på gränsöverskridande samarbete är av naturen sådant som ofta är intressant för ledningen.

Men, som jag sade inledningsvis: Vi måste göra mer. Kritiken mot regeringens hantering av Transportstyrelsens outsourcing av känslig information borde få alla väckarklockor att ringa. Vi moderater anser att det behövs en krisledningsfunktion i Statsrådsberedningen. Det är obegripligt att statsministern flyttade ut den som fanns i stället för att skapa tydliga strukturer för att larma. Effekterna har vi ju sett, och de är väldigt tråkiga.

Som framgår av betänkandet har allianspartierna i ett särskilt yttrande noterat att regeringen "överväger olika alternativ för att stärka den nationella samordningen". Man får glädjas åt det lilla, kan man säga. Men som Försvarsberedningen konstaterar är ansvaret för dessa frågor spritt på väldigt många myndigheter. Det finns ett starkt behov att snabbt åstadkomma en effektiv nationell samordning vad gäller informations- och cybersäkerhet.

Dessutom anser jag att det inom myndigheter och företag måste till en förändring av det slag jag har antytt. Chefer och generaldirektörer måste sätta sig in i frågorna och se till att de har en plats på ledningsnivå. I framtiden kommer rekryteringen av nya ledare med stor sannolikhet också att innehålla frågor och krav på kunskaper om it och it-säkerhet. Så centralt är detta.

Jag tror att det är dags att också vi på politisk nivå inser att det är här skon klämmer. Om vi inte får ledningarna på myndigheter, på företag och i regering att förstå hur centralt detta är kommer för lite att hända. Utvecklingen går snabbt och utnyttjas av andra.

Jag yrkar bifall till utskottets förslag, som i det lilla är bra. Jag vill också tacka försvarsutskottets ordförande för hälsningen om bland annat en glad sommar. Vi ses i andra sammanhang!


Anf. 73 Roger Richtoff (SD)

Fru talman! Syftet med den nya lagen är att uppnå en hög nivå på säkerheten i nätverk och informationssystem. Sverigedemokraterna har i många sammanhang på olika sätt gjort klart att vi ser säkrandet av sådana system och en utveckling av ett cyberförsvar som en viktig del av totalförsvarets alla delar. Vi kan också se positivt på att leverantörer av samhällsviktiga tjänster nu ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete, fru talman, i fråga om de nätverk och informationssystem som de använder och samtidigt tillhandahålla dessa samhällsviktiga tjänster.

STYLEREF Kantrubrik \* MERGEFORMAT Informationssäkerhet för samhällsviktiga och digitala tjänster

Det är lite olyckligt att det kommer i bakvänd ordning. Nu kommer det från EU. Vi har inga problem med det, men vi hade gärna sett att Sverige hade tagit ett kraftfullare initiativ här. Men nu är det som det är, och därför tycker vi att det är bra att detta kommer på plats.

Vi måste hålla ett öga på var besluten hamnar, i alla fall i detta avseende. Just i det här fallet rör det sig om säkerhetsåtgärder som oavsett hur man ställer sig till EU hade varit värdefulla att genomföra. Vi ser som sagt positivt på detta.

Regeringen eller den myndighet som regeringen bestämmer - här tycker jag att det finns en viss osäkerhet - ska enligt propositionen få meddela föreskrifter. Regeringen eller en myndighet ska alltså meddela föreskrifter för vad som krävs av leverantörer av dessa samhällsviktiga tjänster. Sneglar man på MSB? Eller vad sneglar man på? Vi har dock en positiv grundsyn på att man gör detta på ett bra sätt.

Herr talman! Vid utbyte av information måste det enligt regeringen beaktas att utlämnande av uppgifter inte riskerar Sveriges säkerhet. Utskottet förutsätter att säkerhetsklassad information inte utlämnas till EU-institutioner utan att det först prövas att det lagligen kan ske. Detta är mycket viktigt. Utan detta uttalande hade vi över huvud taget inte kunnat godkänna det här.

Ju viktigare detta är och ju fler myndigheter som åläggs att föra säkerhetsarbete, desto större blir Sverigedemokraternas oro inför chefskapet och ledarskapet på myndigheterna. Nu kommer man in på utomordentligt känslig information, och man måste agera med ett gott chefskap och ledarskap, där det tyvärr finns undantag. Jag tycker inte att det finns anledning att känna tillförsikt inför till exempel den nye chefen på MSB.

Ska vi verkligen ha myndighetschefer här i landet som uttrycker sig på det vis som han gör? Han säger att han mår illa och kan kräkas när han hör företrädaren för ett av landets största partier tala. Är det sådana chefer som är kvalificerade att leda dessa viktiga myndigheter?

Jag tycker att man ska gå tillbaka och ställa något slags kompetenskrav. Falluckan ska inte sitta i taket för vare sig politiker, tjänstemän eller chefer i de statliga förvaltningarna när de har visat sig mer eller mindre odugliga. Det finns också massor med bra chefer. Den förra chefen på MSB tycker jag var alldeles utmärkt. Jag kan räkna upp fler.

Jag vill dock framhålla vikten av att man ser över utnämningen av chefer på dessa viktiga myndigheter. Vi har lite att göra när det gäller kompetenskraven, tycker jag. Vilka krav ställer vi på ledningen för aktuell myndighet? Man får söka över landet efter någon med rätt kompetens.

När det gäller anställningsförfarandet ska inte partiboken avgöra. Det är ointressant om man är sverigedemokrat eller något annat. Kompetensen ska avgöra vem som får befattningen som chef eller ledare på myndigheterna. Civilt skulle man aldrig drömma om att anställa någon för att han har rätt partibok.

Överläggningen var härmed avslutad.

(Beslut skulle fattas den 13 juni.)

Beslut, Genomförd

Beslut: 2018-06-13
Förslagspunkter: 5, Acklamationer: 3, Voteringar: 2

Protokoll med beslut

Förslagspunkter och beslut i kammaren

  1. Ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster

    Kammaren biföll utskottets förslagBeslut fattat med acklamation

    Beslut:

    Kammaren biföll utskottets förslagBeslut fattat med acklamation

    Utskottets förslag:
    Riksdagen antar regeringens förslag till
    1. lag om informationssäkerhet för samhällsviktiga och digitala tjänster,
    2. lag om ändring i lagen (2018:000) om informationssäkerhet för samhällsviktiga och digitala tjänster.Därmed bifaller riksdagen proposition 2017/18:205 punkterna 1 och 2.
  2. En ny cybersäkerhetsmyndighet

    Kammaren biföll utskottets förslag

    Beslut:

    Kammaren biföll utskottets förslag

    Utskottets förslag:
    Riksdagen avslår motion

    2017/18:4139 av Andreas Carlson m.fl. (KD) yrkandena 1-4.
    • Reservation 1 (KD)
    Omröstning i sakfråganUtskottets förslag mot reservation 1 (KD)
    PartiJaNejAvståendeFrånvarande
    S1030010
    M75008
    SD36006
    MP22003
    C21001
    V20001
    L17002
    KD01303
    -4013
    Totalt29813137
    Ledamöternas röster
  3. It-standardplattformar och en sammanhållen serviceorganisation

    Kammaren biföll utskottets förslag

    Beslut:

    Kammaren biföll utskottets förslag

    Utskottets förslag:
    Riksdagen avslår motion

    2017/18:4141 av Mikael Jansson m.fl. (-) yrkande 1.
    • Reservation 2 (-)
    Omröstning i sakfråganUtskottets förslag mot reservation 2 (-)
    PartiJaNejAvståendeFrånvarande
    S1030010
    M75008
    SD36006
    MP22003
    C21001
    V20001
    L17002
    KD13003
    -1403
    Totalt3084037
    Ledamöternas röster
  4. Mikrosatellitteknik för säkra myndighetsnätverk

    Kammaren biföll utskottets förslagBeslut fattat med acklamation

    Beslut:

    Kammaren biföll utskottets förslagBeslut fattat med acklamation

    Utskottets förslag:
    Riksdagen avslår motion

    2017/18:4141 av Mikael Jansson m.fl. (-) yrkande 2.
    • Reservation 3 (-)
  5. Säkerhetsklassad information och EU:s institutioner

    Kammaren biföll utskottets förslagBeslut fattat med acklamation

    Beslut:

    Kammaren biföll utskottets förslagBeslut fattat med acklamation

    Utskottets förslag:
    Riksdagen avslår motion

    2017/18:4141 av Mikael Jansson m.fl. (-) yrkande 3.
    • Reservation 4 (-)