8 Rättslig analys

8.1 Befintliga regleringar

I förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap (krisberedskapsförordningen) finns bestämmelser som syftar till att statliga myndigheter genom sin verksamhet ska minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter under fredstida krissituationer och vid höjd beredskap. Förordningen innehållet dels särskilda bestämmelser för bevakningsansvariga myndigheter som gäller vid kris och höjd beredskap, samt generella bestämmelser som också gäller för andra statliga myndigheter, som inte är bevakningsansvariga myndigheter. Av 19 § krisberedskapsförordningen följer att varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredställande sätt, samt att behovet av säkra ledningssystem särskilt ska beaktas. Av 21 § 2 följer att MSB får meddela verkställighetsföreskrifter om sådana säkerhetskrav som avses i 19 § med beaktande av nationell och internationell standard. Med stöd av bemyndigandet har MSB utfärdat föreskrifter om informationssäkerhet för statliga myndigheter(1) och föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter(2). Föreskriften innehåller föreskriftsbestämmelser som är bindande, samt allmänna råd som inte är av tvingande karaktär, med som förtydligar innehållet i föreskriften och ger generella råd om dess tillämpning.

Föreskriften om informationssäkerhet för statliga myndigheter innehåller generella bestämmelser om systematiskt och riskbaserat arbetssätt, säkerhetsåtgärder avseende behandling av information och uppföljning av informationssäkerhetsarbetet. Föreskriften om säkerhetsåtgärder i informationssystem inriktar myndigheternas arbete genom att de på ett samlat sätt tydliggör vilka it-säkerhetsåtgärder som en statlig myndighet minst ska ha på plats i it-miljön. Bestämmelserna i föreskriften om säkerhetsåtgärder i informationssystem innehåller bl.a. bestämmelser om dokumentation av it-miljö, utveckling, anskaffning och utkontraktering, drift- och förvaltning, uppdelning i nätverkssegment, behörigheter, digitala identiteter och autentisering. Bland bestämmelserna i föreskriften återfinns 4 kap. 16–19 §§ bestämmelser om säkerhetsloggning och övervakning. Av bestämmelserna följer vilka säkerhetsrelaterade händelser som ska loggas, krav på analys av säkerhetsloggar för att upptäcka och hantera incidenter och avvikelser, krav på identifiering och hantering av behovet av intrångsskydd och intrångsdetektering, samt krav på identifiering och hantering av behovet av realtidsövervakning av informationssystem.

8.2 Diggs kompetens att leverera det aktuella byggblocket

En grundläggande princip i statsförvaltningen är att en myndighet endast får vidta åtgärder som har stöd i rättsordningen (legalitetsprincipen). Principen framgår bl.a. av 5 § förvaltningslagen. Kravet på legalitet innebär ett krav på att myndighetens agerande ska ha stöd i någon av de källor som bildar rättsordningen. Syftet med det här avsnittet är att beskriva Diggs kompetensområde, för att bedöma huruvida ett tillhandahållande av byggblocket spårbarhet bedöms vara förenligt med detta.

Av 1 § första stycket förordning (2018:1486) med instruktion för Myndigheten för digital förvaltning framgår att Myndigheten för digital förvaltning ska samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenligt. I instruktionen finns också bestämmelsen i 4 § 2 som stadgar att myndigheten ska samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens elektroniska informationsutbyte, samt 8 § som anger att myndigheten ska bedriva arbetet med digitalisering av den offentliga förvaltningen på ett sätt som säkerställer skyddet av säkerhetskänslig verksamhet och informationssäkerhet i övrigt samt skyddet av den personliga integriteten.

Att ta fram ett ramverk för spårbarhet till den förvaltningsgemensamma digitala infrastrukturen får anses rymmas inom de angivna bestämmelserna i Diggs instruktion.

8.3 Hur förhåller sig ramverk för spårbarhet gentemot MSB:s föreskrifter?

MSB:s föreskrifter om säkerhetsåtgärder reglerar minimikrav för säkerhetsåtgärder så som säkerhetsloggning i statliga myndigheters informationssystem. En utgångspunkt bör vara att Digg via ramverk inte ska ta fram bestämmelser som står i strid med dessa föreskrifter. Utöver detta så behöver ramverket vara ett ramverk för att säkerställa att MSB:s krav efterföljs. Om ramverket innebär en konkretisering och ett ”hur” för hur kraven i MSB:s föreskrifter ska efterföljas, är vår tes att detta kan komplettera MSB:s föreskrifter om säkerhetsåtgärder i informationssystem på ett bra sätt.

För att säkerställa att överlapp eller konflikter inte föreligger så bör byggblocket säkerställa och följa upp att MSB godkänner de krav som återfinns i ramverket.

8.4 Hur kan Digg kravställa på användning av ramverket?

Den förvaltningsgemensamma digitala infrastrukturen, Ena, är en samverkansorganisation mellan Digg och de deltagande myndigheterna med grund i samverkansskyldigheten i 6 § myndighetsförordningen och regeringsuppdraget. Inom Ena har de ingående myndigheterna enats om en styrstruktur som medger att styrande dokument meddelas. Genom styrande dokument kan Infrastrukturansvarig myndighet (Digg) kravställa att ramverket ska tillämpas för byggblock eller inom grunddatadomäner i infrastrukturen. Ramverket skulle också kunna vara någon form av rekommendation som ett stödjande material.

En utgångspunkt är att ramverket inte kan förenas med skall-krav för aktörer utanför samverkansöverenskommelsen. För den typen av krav så är författningskrav mer ändamålsenliga om kraven ska implementeras generellt. Aktörer kan möjligtvis kravställa på tillämpning av ramverket i enskilda sammanhang, som t.ex. för en leverantör inom ramen för ett byggblock, men det bedöms tveksamt att föra in krav på tillämpning av ramverket mer generellt utan författningsstöd.

8.5 Marknadsrättsliga frågor

En myndighet ska i sin verksamhet tillgodose legalitet, objektivitet och proportionalitet. En viktig utgångspunkt för ett ramverk för spårbarhet, är att det bör tas fram på ett sätt så att det inte förespråkar vissa leverantörer eller format. En utgångspunkt bör vara att ramverket snarare ska beskriva vilka förmågor och funktioner som ska finnas gällande spårbarhet.

Ett ramverk för spårbarhet skulle eventuellt kunna omfattas av förordning (1994:2029) om tekniska regler. Förordningen om tekniska regler medför att föreskrifter om informationssamhällets tjänster som är rättsligt eller faktiskt tvingande vid tillhandahållande, etablering eller användande av sådana tjänster måste remitteras genom ett europeiskt remissförfarande innan de får tillämpas. Det är viktigt att notera att regelverket även gäller för sådana regler som inte är faktiskt tvingande (som rekommendationer eller ramverk), så väl som tvingande föreskrifter.

En mer utförlig analys av ramverkets marknadsrättsliga påverkan bedöms kunna göras vid en införandefas.

8.6 Juridik om informationshantering

Vid användning av loggsystem så aktualiseras informationshanteringsjuridik, exempelvis offentlighets- och sekretesslagen, säkerhetsskyddslagen, dataskyddsförordningen och arkivlagen.

Ramverket kan inte i detta läge ge några konkreta förhållningspunkter utan utgångsläget är att en analys av det rättsliga läget måste alltid genomföras när loggning och spårbarhet ska ske.

Ett annat utgångsläge är att varje tjänst, process och/eller system har sina egna förutsättningar och således krävs en rättslig analys vad som berör de loggar och spårbarhet som ska arbetas fram.

1) Föreskrifter om informationssäkerhet för statliga myndigheter, MSBFS 2020:6.

2) Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter, MSBFS 2020:7.