Fö2021/00796
1 Sammanfattning
Skatteverket instämmer med de övergripande slutsatserna i utredningen och de förslag som förs fram men med reservation mot några föreslagna formuleringar och framtida förslag.
Skatteverket anser att en fortsatt utredning avseende krav på certifiering av IKT- produkter, -tjänster, och processer som används i säkerhetskänslig verksamhet, bör innehålla ett direktiv som innebär att certifierade säkerhetsprodukter ska ha särskilt fokus mot konfidentialitet.
Skatteverket anser vidare att begreppet väsentlig förändring i informationssystem behöver tydliggöras samt att det utreds hur begreppet bör behandlas med hänsyn tagit till ett agilt utvecklingssätt.
Skatteverket föreslår också att det för säkerhetskänslig verksamhet bör finnas möjlighet att värdera konsekvensen av ett genomförande av en väsentlig förändring mot den konsekvens som uppstår av att inte genomföra den aktuella förändringen. Vägval och beslut bör i sådana situationer fattas i samråd med tillsynsmyndigheten.
Enligt Skatteverkets bedömning bör den föreslagna åtgärdsföreläggandebestämmelsen i 3 a kap. 2 § tredje stycket i säkerhetsskyddslagen (2018:585), SSL, vara en egen paragraf.
2 Skatteverkets synpunkter
Skatteverket ser risker om krav på certifierade produkter införs, särskilt med hänsyn till de potentiella negativa sidoeffekter som kan uppstå. Då den tekniska utvecklingen går snabbt finns risk att certifieringen av produkter inte följer med i den tekniska utvecklingen och att en nationell sammanställning av certifierade och rekommenderade produkter skulle kunna innehålla produkter med en för låg säkerhetsnivå.
Skatteverkets säkerhetsskyddsarbete består i huvudsak av säkerhetskänslig verksamhet och att tillgängliggöra förmågor som är centrala inom samhällsviktig verksamhet. För att skapa en tillgänglighet och kontinuitet av berörda centrala förmågor används flertalet tekniker i en övergripande arkitektur med lösningar som är byggda för hög tillgänglighet, stabilitet och redundans. Systemen är designade och planerade för att klara den höga last som förekommer under perioder och också klara bortfall för ett ändamålsenligt kontinuitetsarbete. Detta förhållande fordrar att en flexibilitet i val av produkter i den tekniska arkitekturen existerar baserat på verksamhetens behov. Detta kan väsentligen försämras av krav på certifierade säkerhetsprodukter som medför försämrad tillgänglighet och kontinuitetsförmåga.
Skatteverket anser att en fortsatt utredning avseende krav på certifiering av IKT- produkter, -tjänster, och processer som används i säkerhetskänslig verksamhet, bör innehålla ett direktiv som innebär att certifierade säkerhetsprodukter ska ha särskilt fokus mot konfidentialitet. Då är det fortsatt möjligt med ett ändamålsenligt tillgänglighets- och kontinuitetsarbete av säkerhetskänslig verksamhet.
2.2.1 Utökad skyldighet av samråd vid driftsättningar
Skatteverket ser en tillkommande risk i otydligheten gällande innebörden av väsentlig förändring i informationssystem enligt säkerhetsskyddsförordning (2018:658) i kombination med de förstärkta samrådskraven. Det kan leda till en betydande utökning av antalet samråd vid implementationer i den säkerhetskänsliga verksamheten.
Skatteverket som myndighet genomför en förflyttning mot ett agilt arbetssätt genom vidare implementation av SAFe ramverket. Förflyttningen sker som en konsekvens av att Skatteverket måste ha en kontinuerlig, flexibel och snabb kapacitet att utveckla applikationer samt förmågor inom IT. Det är inte ovanligt att det sker ett flertal driftsättningar per vecka i systemen och en utökad samrådsskyldighet per driftsättning skulle därför väsentligen hämma Skatteverkets förmåga att möta tillkommande lagar, ändringar och andra aktörers behov av information som Skatteverket besitter.
Skatteverket förslår därför att begreppet väsentlig förändring tydliggörs samt att det vidare utreds hur begreppet bör behandlas med hänsyn tagit till ett agilt utvecklingsförfarande.
2.2.2 Möjlighet till att förbjuda planerad driftsättning eller förfarande förenat med vite vid brott mot förbud
Skatteverket ser det som en brist att det föreslagna författningsförslaget saknar en möjlighet till konsekvensbedömningen av förbud av driftsättning. Skatteverket bedriver säkerhetskänslig verksamhet genom tillgängliggörande av förmågor eller information som är central för förvaltningen av Sverige. Förändring av dessa förmågor kan behöva ske skyndsamt. En sådan förändring kan innebära ett behov av skyndsam implementation eller ändring av befintlig förmåga. Vid en sådan förändring ska den särskilda säkerhetsskyddsbedömningen uppdateras och en lämplighetsprövning genomföras.
Lämplighetsprövningen ska följas upp med ett samråd om lämplighetsprövningens slutsats är att förfarandet inte är olämpligt ur säkerhetsskyddshänseende. Vid en sådan situation bör möjligheten finnas att bedöma vilken konsekvens som uppstår om ett förfarande inte genomförs.
Säkerhetspolisens befogenheter bör balanseras med berörda myndigheters ansvar(jfr ansvarsprincipen) för sin verksamhet. Skatteverket föreslår därför att det för säkerhetskänslig verksamhet bör finnas möjlighet att värdera konsekvensen av ett genomförande av en väsentlig förändring mot den konsekvens som uppstår av att inte genomföra den aktuella förändringen. Vägval och beslut bör i sådana situationer fattas i samråd med tillsynsmyndigheten.
2.3 Synpunkter på lagtext av teknisk natur
Enligt Skatteverkets bedömning bör den föreslagna åtgärdsföreläggandebestämmelsen i 3 a kap. 2 § tredje stycket i säkerhetsskyddslagen (2018:585), SSL, vara en egen paragraf. Detta för att det ska vara tydligt att föreläggandebefogenheten är tämligen vidsträckt och är tillämplig även när verksamhetsutövaren inte samråder med samrådsmyndigheten trots att det finns skyldighet att göra det.
3 Konsekvenser för Skatteverket
Skatteverkets säkerhetsbehov präglas i första hand av stora kontinuerliga kommunikationsvolymer mot samhällets alla aktörer med höga krav på i första hand korrekthet och tillgänglighet.
Ett framtida eventuellt krav på att endast certifierade produkter ska användas inom säkerhetsskyddskänslig verksamhet kan medföra ökade kostnader för tekniska investeringar samtidigt som säkerheten försämras utifrån tillgänglighetsperspektivet. Såväl kostnader som konsekvenser är dock mycket svåra att uppskatta i nuläget.
Tillsammans gör vi samhället möjligt