Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag

Försvarsutskottets yttrande 2017/18:FöU8y

Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag

Till justitieutskottet

Justitieutskottet beslutade den 22 mars 2018 att ge försvarsutskottet tillfälle att yttra sig över proposition 2017/18:89 Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag och följdmotionerna i de delar som berör utskottets beredningsområde.

Försvarsutskottet begränsar sitt yttrande till informationssäkerhetsmässiga aspekter av propositionen och följdmotionerna. Utskottet anser att justitieutskottet bör tillstyrka förslagen i propositionen på de skäl som anförs av regeringen. Utskottet anser också att justitieutskottet bör tillstyrka motion 2017/18:3999 (M, C, L, KD) yrkandena 1–3 och avstyrka motion 2017/18:3980 (V).

I yttrandet finns en avvikande mening (V).

Utskottets överväganden

Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag

Propositionen

Säkerhetsskydd innebär förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. Kraven på säkerhetsskyddet har förändrats genom utvecklingen i omvärlden och på informationsteknikområdet, ökningen av säkerhetskänslig verksamhet som bedrivs i enskild regi och en ökad internationell samverkan.

För att stärka säkerhetsskyddet föreslår regeringen en ny säkerhetsskyddslag. Den nya lagen innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, t.ex. samhällsviktiga informationssystem, förbättras enligt regeringen. Det förtydligas att lagen gäller i både allmän och enskild verksamhet.

Den nya lagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter. Till följd av den nya lagen föreslås även ett antal ändringar i andra lagar. Lagen och följdändringarna i övriga lagar föreslås träda i kraft den 1 april 2019.

Motionerna

I motion 2017/18:3980 anför Linda Snecker m.fl. (V) att det offentliga dagligen hanterar mängder av information. Vissa uppgifter klassas som skyddsvärda och en del rör även rikets säkerhet. En viktig förklaring till de brister i fråga om myndigheters informationssäkerhetsarbete som Riksrevisionen visat på är att förståelsen för vikten av en god informationssäkerhet överlag är alltför liten, vilket i sin tur får till följd att arbetet inte prioriteras tillräckligt i förhållande till riskerna. Det visar inte minst problemen med Transportstyrelsens upphandling på, menar motionärerna som föreslår att regeringen bör ta fram riktlinjer för hur utkontraktering av it-verksamhet så långt som det är möjligt ska kunna undvikas i den offentliga förvaltningen.

Tomas Tobé m.fl. (M, C, L, KD) välkomnar i motion 2017/18:3999 att regeringen har presenterat den aktuella propositionen men anser dock att det finns brister kopplade till denna som behöver hanteras. Skandalen kring Transportstyrelsens utkontraktering av sin it-verksamhet och regeringens bristfälliga hantering av denna fråga understryker behovet av ett bredare omtag när det gäller säkerhetsskyddsarbetet, anför motionärerna som därför föreslår att regeringen bör tillse att tillsynsmyndigheternas ansvar och befogenheter regleras i säkerhetsskyddslagen (yrkande 1), att regeringen bör genomföra en översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning (yrkande 2) och att Regeringskansliet bör omfattas av säkerhetsskyddslagens samtliga bestämmelser (yrkande 3).

Utskottets ställningstagande

Försvarsutskottet konstaterar att den nationella och internationella digitalisering som sker i dag går i snabb fart. Denna för dock inte bara med sig möjligheter till utveckling. Det finns alltför många exempel på hur obehöriga aktörer kommit åt eller fått möjligheter att komma åt känslig information. Inte minst Riksrevisionens granskningar har visat på att informationssäkerheten hos svenska myndigheter inte har utvecklats tillräckligt.

Utskottet ser därför positivt på de initiativ som regeringen vidtagit, dels den nyligen antagna nationella strategin för samhällets informations- och cybersäkerhet (skr. 2016/17:213, bet. 2017/18:FöU4, rskr. 2017/18:142), dels den nu föreslagna säkerhetsskyddslagen. Att den nya lagen innebär att skyddet av säkerhetskänslig verksamhet, t.ex. samhällsviktiga informationssystem, förbättras välkomnas av utskottet.

Utskottet ser bl.a. ett behov av en utvecklad och fördjupad myndighetssamverkan för att höja informations- och cybersäkerheten i samhället, vilket regeringen men också utskottet uttryckt tidigare, t.ex. i betänkande 2017/18:FöU4. Utskottet ger också stöd åt regeringens syn i den tidigare nämnda strategin att stödet vid upphandling av säker elektronisk kommunikation och andra it-relaterade tjänster bör stärkas och att det är viktigt att de verksamheter som har behov av en hög nivå av driftssäkerhet inom kommunikationsnät och it-relaterade tjänster ställer krav på detta vid upphandling. Utskottet anser likt regeringen att det är nödvändigt att främja kunskaps- och kompetensutvecklingen på informationssäkerhetsområdet i samhället, inte minst bland myndigheter.

Myndigheten för samhällsskydd och beredskap (MSB) och Säkerhetspolisen spelar bl.a. här en viktig roll genom t.ex. utförandet av sina respektive regeringsuppdrag. Regeringen har dessutom sett till genom en ändring i säkerhetsskyddsförordningen (1996:633) som trädde i kraft den 1 april 2018 att statliga myndigheter, innan en utkontraktering inleds, ska samråda med någon av tillsynsmyndigheterna Säkerhetspolisen eller Försvarsmakten. Dessa myndigheter ska också ha möjlighet att besluta att sådana förfaranden inte får genomföras.

Regeringen har också gett en särskild utredare i uppdrag att bl.a. kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse eller överlåtelse av sådan verksamhet och föreslå åtgärder (dir. 2017:32). Utredningen om utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn ska redovisas senast den 31 oktober 2018.

Utskottet anser således inte att det för närvarande finns skäl att föreslå några nya åtgärder i fråga om utkontraktering. Utskottet föreslår därför att justitieutskottet avstyrker motion 2017/18:3980 (V).

Även om utskottet välkomnar att regeringen har presenterat propositionen så understryks behovet av ett bredare omtag avseende säkerhetsskyddsarbetet pga. skandalen kring Transportstyrelens utkontraktering av sin it-verksamhet samt regeringens bristfälliga hantering av denna fråga. Detta infattar såväl säkerhetsskyddslagen som säkerhetskyddsförordningen, men även de föreskrifter och anvisningar som tillsynsmyndigheterna utfärdar generellt eller riktar mot berörda aktörer. Utskottet konstaterar att regeringen har försökt att hantera denna situation genom propositionen och genom vissa förändringar i säkerhetskyddsförordningen, men även genom tillsättandet av utredningen om utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn, som utskottet ser fram emot att ta del av. Frågan hastar dock på grund av det säkerhetspolitiska läget. Utskottet anser att det finns brister kopplat till propositionen som behöver hanteras omgående och anser att regeringen bör tillse att tillsynsmyndigheternas ansvar och befogenheter regleras i säkerhetsskyddslagen, att regeringen bör genomföra en översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning och att frågan om hur Regeringskansliet bör omfattas av säkerhetsskyddslagens bestämmelser ska utredas.

Utskottet anser således att justitieutskottet bör tillstyrka förslagen i propositionen på de skäl som anförs av regeringen men också föreslå med tillstyrkande av motion 2017/18:3999 (M, C, L, KD) yrkandena 1–3 att riksdagen ställer sig bakom vad som anförs i motionen och tillkännager detta för regeringen.

Stockholm den 12 april 2018

På försvarsutskottets vägnar

Allan Widman

Följande ledamöter har deltagit i beslutet: Allan Widman (L), Åsa Lindestam (S), Hans Wallmark (M), Peter Jeppsson (S), Alexandra Völker (S), Jan R Andersson (M), Daniel Bäckström (C), Anders Schröder (MP), Lotta Olsson (M), Paula Holmqvist (S), Roger Richtoff (SD), Lotta Johnsson Fornarve (V), Mikael Oscarsson (KD), Mattias Ottosson (S), Kalle Olsson (S), Lars Püss (M) och Jeff Ahl (-).

 

 

 

 

 

Avvikande mening

Propositionen (V)

Lotta Johnsson Fornarve (V) anför:

 

Riksrevisionen har återkommande granskat myndigheternas informationssäkerhetsarbete. Tidigare rapporter har visat på ett flertal brister. En viktig förklaring till de brister i fråga om myndigheters informationssäkerhetsarbete som Riksrevisionen visat på är att förståelsen för vikten av en god informa-tionssäkerhet överlag är alltför liten, vilket i sin tur får till följd att arbetet inte prioriteras tillräckligt i förhållande till riskerna. Samtidigt som myndigheterna inte klarar av att hantera uppgifterna är det dominerande påbudet att allt fler it-områden ska läggas ut på entreprenad. Det är allvarligt att regeringen inte har försäkrat sig om att det finns nödvändiga förutsättningar för myndigheterna att upprätthålla en god informationssäkerhetsnivå. Även om det i propositionen lämnas förslag som rör säkerhetsprövning m.m. vid exempelvis upphandling anser jag ändå att det är ett riskmoment i sig att utkontraktera uppgifter som innebär hantering av säkerhetskänslig information. Jag anser därför att regeringen bör ta fram riktlinjer för hur utkontraktering av it-verksamhet så långt som det är möjligt ska kunna undvikas i den offentliga förvaltningen. Detta innebär att jag anser att justitieutskottet bör tillstyrka motion 2017/18:3980 (V).