Skatteverkets remissvar m.m.

1 Sammanfattning

Skatteverket avstyrker:

• att ta bort de nuvarande föreskrifternas krav på att tillämpa etablerad svensk och internationell standard,
• att klassificera information med utgångspunkt i spårbarhet,
• de detaljstyrande bestämmelserna i 5, 6, 8, 9, 10 §§ i förslaget och rekommenderar istället att dessa bestämmelser omformuleras,
• förslaget i 3 § om en för staten speciell definition av begreppet informationssäkerhet,
• förslaget i 5 § första meningen och lämnar ett alternativ,
• förslaget i 6 § första meningen och lämnar ett alternativ,
• formuleringen av bestämmelsen i 8 §,
• förslaget om att minst vart annat år genomföra utbildningar för alla medarbetare,
• att använda begreppet skyddsnivå i föreskrifter, samt
• formuleringen av 10 § sista stycket.

Skatteverket lämnar även några andra synpunkter på föreslagna föreskrifter och på brister i konsekvensutredningen.

2 Övergripande synpunkter

Skatteverket ser behovet av revidering av nuvarande föreskrifter och vikten av att före-skrifterna utgör ett ändamålsenligt och effektivt stöd för myndigheternas informations-säkerhetsarbete. Skatteverket kan därför, om tillfälle ges, även bidra i ett senare skede med synpunkter på ett reviderat förslag till föreskrifter.

2.1 Tydlig koppling mellan föreskrifter och standarder är nödvändig

Skatteverket avstyrker bestämt förslaget om att helt ta bort kravet i de gällande föreskrifterna på att tillämpa etablerad svensk och internationell standard.

Skatteverket ser stora risker och ineffektivitet för statsförvaltningen som följd av en sådan förändring. Risker finns inom myndigheterna där en sådan förändring öppnar för att utelämna sådant som inte nämns i föreskrifterna eller nyväckta diskussioner om att andra vägar än de som standarden anger ska beaktas eller provas för att uppfylla föreskrifternas krav. Större konsekvenser finns dock i samband med leverantörskontakter, vid samverkan mellan svenska myndigheter och vid samverkan med utländska myndigheter. Att i upphandlingar, avtal och överenskommelser kunna hänvisa till både en etablerad svensk och internationell standard och till föreskrifter från MSB är en stor fördel jämfört med att endast hänvisa till enskilda krav i föreskrifter från MSB.

Skatteverket anser att statens säkerhetsarbete ska vara effektivt och bygga på stöd i svensk och internationell standard. Staten ska därför inte använda resurser för att ersätta standarder med speciell statlig särreglering. Att helt ta bort standardhänvisningen från föreskrifterna vore ett steg tillbaka för statsförvaltningens informationssäkerhet.

Skatteverket anser alltså att föreskrifterna fortsatt ska ha ett tydligt krav på att tillämpa standard, men verket är öppet för att hänvisningen kan utformas på ett annat sätt än i nu gällande föreskrifter. Det är exempelvis inte nödvändigt att föreskrifterna anger en exakt utgåva av standard. Ett alternativ lämnas i samband med synpunkter på föreskrifternas 5 § nedan.

2.2 Undvik att föreskriva detaljregler som hindrar myndigheternas verksamhetsanpassning av ledningssystem

Skatteverket avstyrker att de detaljstyrande bestämmelserna i 5, 6, 8, 9, 10 §§ i förslaget till nya föreskrifter införs och rekommenderar i stället att dessa bestämmelser omformuleras på ett sådant sätt att de effekter som eftersträvas lyfts fram och detaljregleringen tas bort.

Skatteverket anser att de föreslagna kraven på myndigheternas informationssäkerhetsarbete är allt för detaljreglerande och omfattande. Kraven påverkar en myndighets möjligheter till att anpassa ledningssystemet inom informationssäkerhet till sin egen verksamhet och det egna styrsystemet. Det skapar ett alltför begränsat handlingsutrymme för en enskild myndighet att verksamhetsanpassa arbetet med informationssäkerhet. Föreskrifterna borde i stället fokusera på vilka effekter som ska uppnås och sedan låta myndigheterna bestämma hur arbetet ska göras.

3 Synpunkter på bestämmelser i föreskrifterna

3.1 2 §

Skatteverket anser att 2 § andra stycket är allt för otydligt formulerad jämfört med vad som sägs i kommentarer och de allmänna råden. Skatteverket föreslår följande alternativa formulering av stycket.

En myndighet vars informationshantering eller informationssäkerhetsarbete helt eller delvis administreras av en annan myndighet får uppdra åt den andra myndigheten att ta beslut och fullgöra andra uppgifter som anges i denna författning. Omfattningen av ett sådant samarbete ska vara tydligt dokumenterat.

3.2 3 §

Skatteverket avstyrker förslaget om en för staten speciell definition av begreppet informationssäkerhet. När det gäller grundläggande begrepp som används i hela samhället är det av största vikt att statsförvaltningen beaktar nationell och internationell standard för informationssäkerhet. Verket anser att avvikande begreppsdefinitioner försvårar förståelsen och skapar onödiga kostnader.

Skatteverket rekommenderar för tydlighetens skull att utöver informationssäkerhet även den etablerade standardens definition av begreppet ledningssystem tas in i föreskrifterna.
Verket förordar att om spårbarhet ska betonas i samband med någon av föreskrifternas bestämmelser bör detta i stället anges i respektive bestämmelse. Att definitioner anges i föreskrifterna hindrar inte att andra ordförklaringar används i exempelvis de allmänna råden.

3.3 4 §

Skatteverket anser att 4 § andra stycket är onödigt då det förvaltningsrättsliga ansvaret för information redan är väl definierat. Skatteverket föreslår att andra stycket placeras i de allmänna råden.

3.4 5 §

Skatteverket avstyrker 5 § första meningen och lämnar ett alternativ. Förslaget omfattar inte kravet som finns i nu gällande föreskrifter och i bemyndigandet om att beakta standard. Samtidigt försvårar meningen i onödan integrering av flera ledningssystem. Skatteverket föreslår ett alternativ.

Varje myndighet ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Myndigheten ska ha ett ledningssystem som omfattar informationssäkerhet och särskilt beakta etablerade svenska standarder för informationssäkerhet.

3.5 6 §

Skatteverket avstyrker den föreslagna formuleringen av 6 § första meningen och lämnar ett alternativ. Uttrycket i första meningen vara styrande för all hantering av information kan uppfattas som vidare än bemyndigandet i krisberedskapsförordningen om sådana säkerhetskrav som avses i 30 a §.

För att undvika detta behöver uttrycket omformuleras och kan exempelvis alternativt lyda vara styrande för säkerheten i all hantering av information.

3.6 8 §

Skatteverket avstyrker den föreslagna formuleringen av 8 §. Bestämmelsen innebär oproportionerliga detaljregler som hindrar myndigheternas verksamhetsanpassning av säkerhetsarbetet. Skatteverket anser att om bestämmelsen alls ska finnas i föreskrifterna behöver den omformuleras till att fokusera på de säkerhetseffekter som ska uppnås. MSB bör låta myndigheterna bestämma exakt hur det närmare genomförandet ska göras i respektive verksamhet.

Krav i föreskrifter om att alla myndigheter ska använda en viss arbetsmetod eller en viss benämning på den som har ett visst ansvar anser Skatteverket är oproportionerliga om det inte finns särskilt starka motiv redovisade för valet av denna metod eller benämning.
Varken i kommentarer eller i de allmänna råden motiveras här varför en person eller funktion benämnd just informationsägare ska var obligatorisk för alla myndigheter. Formuleringen går även längre än standardens krav.

3.7 9 §

Skatteverket avstyrker förslaget om att minst vart annat år genomföra utbildningar rörande informationssäkerhet för medarbetare. Bestämmelsen är ett exempel på oproportionerliga detaljregler som kan hindra myndigheternas verksamhetsanpassning av säkerhetsarbetet.
Bestämmelsen är formulerad på sådant sätt att det riskerar leda till en ineffektiv tillämpning. Skatteverket anser att bestämmelsen bör omformuleras så att utbildning ska genomföras utifrån behovet av tillräcklig kunskap och inte utefter tidsintervaller. Skatteverket anser att tillsammans med övriga bestämmelser om bland annat uppföljning och revision finns en god grund för att myndigheten självständigt kan behovspröva utbildningsintervall.

3.8 10 §

Skatteverket avstyrker förslagen om

• att klassa information med utgångspunkt i spårbarhet,
• att använda begreppet skyddsnivå, samt
• det sista styckets formulering.

De här förslagen är oproportionerliga detaljregler som hindrar myndigheternas verksamhetsanpassning av säkerhetsarbetet. Utförligare motiveringar följer nedan.

3.8.1 10 § punkten 1

Förslaget i punkt 1 om obligatorisk klassificering av information med utgångspunkt i spårbarhet är en betydande förändring från nu gällande föreskrifter. Skatteverket anser inte att införandet av en fjärde aspekt är lämpligt eller motiverat. Spårbarhet eller andra liknande aspekter som t.ex. oavvislighet ska därför inte vara obligatoriska för myndigheternas klassificeringsmodeller.
Skatteverket ser även stora konsekvenser för säkerhetsarbetet av en så betydande förändring av befintliga klassificeringsmodeller som redan införts av Skatteverket och andra myndigheter. Främst konsekvenser i form av direkta kostnader för ändringar och förnyade klassificeringar men även svårigheter med att införa en förändrad modell som verksamheten inte ser någon verksamhetsnytta i.

Om någon myndighet önskar klassificera information med flera aspekter än de huvudsakliga så bör detta ses som en verksamhetsanpassning. Om MSB i de allmänna råden beskriver fördelarna med att tillföra spårbarhet som en aspekt vid klassificering bör alla myndigheter när man utvärderar och eventuellt förändrar befintliga modeller pröva behovet av att lägga till spårbarhet.

3.8.2 10 § punkten 3

Förslaget i punkt 3 om att införa begreppet skyddsnivå i föreskrifterna är enligt Skatteverket både onödigt och omotiverat. Den parentesen bör därför utgå ur föreskrifterna.

3.8.3 10 § sista stycket

Förslaget till formulering av 10 § sista stycket innebär en onödig och omotiverad detaljstyrning av myndighetens ledningssystem. Formuleringen Av de beslutade modellerna ska det bland annat framgå bör därför ersättas av exempelvis följande formulering

Av myndighetens styrande dokument ska det bland annat framgå

4 Synpunkter på konsekvensutredning

Som framgått i avsnitt 2.1 i detta svar har Skatteverket starka invändningar mot det som sägs inom 1.1.4 Bedömda revideringsbehov i avsnittet Tillämpning av standarder.

Skatteverket saknar tillräckliga konsekvensanalyser i avsnitt 1.5 Uppgifter om kostnadsmässiga och andra konsekvenser med kostnadsberäkningar eller liknande för hela statsförvaltningen eller enskilda myndigheter när det gäller de två betydande förändringarna som föreslås från nu gällande föreskrifter nämligen följande.

• Borttagningen av kravet på att tillämpa etablerad standard
• Nya kravet på klassificering med utgångspunkt i spårbarhet