Förslag på nationell myndighet

för cybersäkerhetscertifiering

Mot bakgrund av bl.a. ovan angivna utgångspunkter bedömer utred- ningen att det finns följande möjliga alternativ för hur ansvaret att lösa de angivna uppgifterna kan organiseras.

• En och samma myndighet får i uppdrag att vara nationell myn- dighet för cybersäkerhetscertifiering och att etablera tillsyns- funktionen.

• En myndighet får i uppdrag att vara nationell myndighet för cybersäkerhetscertifiering och en annan fristående myndighet får i uppdrag att ansvara för den nationella tillsynsfunktionen.

• En ansvarig sektorsmyndighet får uppdraget att inom sin sektor vara nationell myndighet för cybersäkerhetscertifiering och även ansvara för myndighetens tillsynsfunktionen inom sektorn. När det gäller frågan om det bör vara en eller flera myndigheter som ska ansvara för angivna uppgifter och verksamhetsområden gör ut- redningen bedömningen att uppgifterna som avser omvärldsbevak- ning, samverkan och ansvar för certifieringsverksamheten bör hållas samman i en myndighet, samtidigt som verksamheten förutsätter en nära samverkan med övriga berörda myndigheter med uppgifter och ansvar som berör informations- och cybersäkerhetsområdet. Frågan om den myndighet som ska vara nationell myndighet för cybersäker- hetscertifiering även bör ha ansvar för tillsynen av efterlevnaden av det europeiska ramverket för cybersäkerhetscertifiering behandlas i avsnitt 8.4.

7 _{Regeringen i Nederländerna har föreslagit en ny lag för genomförande av EU:s cybersäker-}

hetsakt. Ministeriet för Ekonomi och Klimatpolitik föreslås utses till nationell myndighet för cybersäkerhetscertifiering. Enligt motiven till lagförslaget planerar ministeriet att lägga de uppgifter som följer av cybersäkerhetsakten på landets telestyrelse, Agentschap Telecom (se www.internetconsultatie.nl/uitvoeringswetcyberbeveiligingsverordening, 2020-09-11). Effekti- vitetsskäl anförs till grund för införandet av samtliga funktioner i en befintlig organisation med erfarenhet av både verkställande arbete och separerad tillsynsverksamhet inom den digitala domänen.

Nationell myndighet för cybersäkerhetscertifiering SOU 2020:58

Vilken eller vilka befintliga nationella myndigheter som bör till- delas ansvaret att fullgöra en eller flera av uppgifterna bör grundas på de uppgifter och verksamhetsområden som aktuella myndigheter redan i dag ansvarar för eller om en myndighet kan bygga upp en ända- målsenlig och kostnadseffektiv verksamhet för att lösa uppgifterna.

Utredningen bedömer att med ovan angivna utgångspunkter bör uppgiften att vara nationell myndighet för cybersäkerhetscertifiering i första hand tilldelas en myndighet som redan arbetar med informa- tions- och cybersäkerhetsfrågor, och om möjligt även bedriver certi- fieringsverksamhet på området. Detta innebär att det främst är någon av de myndigheter som ingår i samverkansgruppen för informations- säkerhet (SAMFI) som kan komma ifråga för att tilldelas de upp- gifter och ansvarsområden som följer av cybersäkerhetsakten.

I kapitel 2 och 5 finns en närmare redogörelse för SAMFI myn- digheternas olika roller, uppgifter och ansvarsområden inom ramen för arbetet med att utveckla och stärka informations- och cyber- säkerheten i landet. Utöver dessa myndigheter bedriver Totalför- svarets forskningsinstitut (FOI) forsknings- och utvecklingsarbete på området. Det finns även andra myndigheter som i sin verksamhet hanterar informations- och kommunikationssäkerhet, dock bedöms ingen av dessa myndigheter bedriva sådan verksamhet att de bör vara aktuella för sådana uppgifter som ska anförtros den nationella myn- digheten för cybersäkerhetscertifiering.

Flera av de nu aktuella myndigheterna har utöver sina huvud- uppgifter vissa uppgifter med beröring till informations- och kom- munikationssäkerhet. Försvarsmakten, FRA, SÄPO, och Polisen har sina huvudsakliga roller och ansvar inom ramen för Sveriges för- svar och säkerhet och bedriver försvarsverksamhet, underrättelse- och säkerhetstjänst samt brottsbekämpning. Ingen av de sist nämnda myndigheterna, inte heller FOI, bedriver dock i dag sådan verksam- het som medför att det framstår som naturligt eller ändamålsenligt att tilldela en eller flera av dessa myndigheter ansvar för en eller flera av de uppgifter som följer genom cybersäkerhetsaktens införande i Sverige. En eller flera av dessa myndigheter kan dock komma att be- röras av frågor som rör cybersäkerhetscertifiering, t.ex. inom ramen för den egna verksamheten eller i egenskap av tillsynsmyndighet, vilket ställer krav på samverkan på nationell nivå mellan den myn- dighet som får ansvar att vara nationell myndighet för cybersäker-

SOU 2020:58 Nationell myndighet för cybersäkerhetscertifiering

hetscertifiering och andra berörda myndigheter. Frågan om behovet av utökad samverkan mellan myndigheterna behandlas i kapitel 13.

Utredningen bedömer därför att det i första hand är FMV, MSB och PTS som kan komma i fråga som nationell myndighet för cyber- säkerhetscertifiering.

Försvarets materielverk (FMV)

FMV:s huvudsakliga uppdrag är att biträda Försvarsmakten i planer- ingen av materiel- och logistikförsörjningen och med materielsystem- kunskap. Myndigheten biträder också med kompetens när det gäller vidmakthållande och upphandling och ansvarar för upphandling av bl.a. varor och tjänster inom materielförsörjningsområdet som inte omfattas av Försvarsmaktens egna upphandlingsansvar.

FMV har genom stärkt internationell samverkan bidragit till att ta fram ett ramverk för stöd till att hantera cyberhot, sårbarheter och motåtgärder, vilket kan användas av säkerhetsexperter inom både stat och näringsliv. Arbetet är ett resultat av ett samarbete inom Multi- national Industrial Security Working Group (MISWG) som arbetar med strategier för nationell cybersäkerhet, policyer för nationell industrisäkerhet och bästa praxis i detta sammanhang. Mot bakgrund av att flera av deltagarländerna i MISWG redan har motsvarande nationella modeller uppnås dessutom harmoniering på området.

FMV bedriver i dag verksamhet som kräver bred och djup kun- skap och teknisk kompetens inom ramen för verksamhet som Sveriges nationella certifieringsorgan för IT-säkerhet i produkter och system (CSEC). FMV ska enligt myndighetens instruktion i sin verksamhet verka för att uppnå och vidmakthålla internationellt erkännande för utfärdade certifikat samt vara Sveriges signatär och representant inom den internationella överenskommelsen för ömsesidigt erkän- nande av certifikat (CCRA) och motsvarande överenskommelse inom Europa (SOG-IS MRA). FMV ska i sin verksamhet även be- akta nationella säkerhetsintressen. FMV/CSEC har inom ramen för CCRA och den europeiska motsvarigheten SOG-IS medverkat i det fortsatta arbetet med att utveckla och effektivisera Common Criteria, där arbetet är inriktat på att främja en ökad harmonisering av kraven på it-säkerhet för specifika produktkategorier.

Nationell myndighet för cybersäkerhetscertifiering SOU 2020:58

CSEC behandlade cirka 30 certifieringar under 2019.8 _Parallellt med detta arbete har certifieringsordningen utvecklats vidare i syfte att bli alltmer tydlig och göra arbetet mer effektivt. Vidare har CSEC genomfört tillsyn av två evalueringsföretag med licens att granska it- säkerhet i produkter inom ramen för certifieringsordningen. CSEC gav även stöd till MSB arbetet med att utarbeta säkerhetskrav för bl.a. säkra USB-minnen och krav på säkerhetsfunktioner i databas- hanterare.

FMV/CSEC har även uppdraget att ansvara för certifiering av anordningar för skapande av kvalificerade elektroniska underskrifter och anordningar för kvalificerade elektroniska stämplar enligt arti- kel 30 och 39 i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och be- trodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

FMV/CSEC har således mångårig erfarenhet av certifiering inom informations- och cybersäkerhetsområdet och är i dag organiserat inom myndigheten för att möta de krav på oberoende som gäller för ett ackrediterat organ för bedömning.

Utredningen bedömer att FMV:s uppgifter och verksamhet med- för att myndigheten har både en omfattande och en djup teknisk kompetens inom olika verksamhetsområden, bl.a. inom området för informations- och cybersäkerhet samt inom området certifiering av it-säkerhet i produkter och system. Myndigheten har mot den bakgrun- den förutsättningar för att – utöver själva certifieringsverksamheten – även kunna ansvara för huvuddelen av de övriga uppgifter som följer av cybersäkerhetsakten och europeiska ordningar för cybersäkerhets- certifiering, bl.a. omvärldsbevakning av cybersäkerhet, samverkan med nationella och internationella aktörer samt den certifieringsverksam- het som den nationella myndigheten för cybersäkerhetscertifiering ska ansvara för.

När det gäller frågan om tillsynsverksamhet kan noteras att FMV i dag inte har några formella tillsynsuppgifter. Samtidigt kan noteras att myndigheten är föreslagen att vara tillsynsmyndighet för en betydande del av verksamheter som bedriver säkerhetskänslig verk- samhet på försvarsmaterielområdet och som omfattas av regleringen för säkerhetsskydd. I betänkandet Kompletteringar till den nya säker-

SOU 2020:58 Nationell myndighet för cybersäkerhetscertifiering

hetsskyddslagen (SOU 2018:82) föreslås FMV få ansvar för tillsyn

över enskilda verksamhetsutövare inom området försvarsmateriel. Det föreslagna tillsynsområdet bedöms omfatta samtliga företag som levererar varor, tjänster och byggentreprenader samt logistik- tjänster kopplade till det militära försvarets förmåga, vilket bedöms omfatta alla leverantörer som myndigheten har tecknat säkerhets- skyddsavtal med. Inom tillsynsområdet finns också leverantörer som tecknat säkerhetsskyddsavtal med andra myndigheter i liknande syf- ten. Andra aktörer som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel kan vara företag som utvecklar koncept för framtida vapensystem eller teknik som väsentligen ska användas i ett militärt sammanhang, utan att det görs på uppdrag av en myndighet. Enligt vad som anges i betänkandet berörs mellan 1 500–2 000 till- synsobjekt inom tillsynsområdet. Betänkandet är föremål för bered- ning i Regeringskansliet.

Myndigheten för samhällsskydd och beredskap (MSB)

MSB bedriver redan i dag verksamhet med att utveckla och stödja informations- och cybersäkerheten i samhället (kapitel 5). MSB del- tar bl.a. aktivt i standardiseringsarbetet inom området informations- säkerhet. I sitt arbete med Common Criteria ger MSB, i samarbete med FMV, ut rekommendationer för användning av en skyddsprofil eller certifierad produkt. Förvaltningen av en referenslista över rekom- menderade skyddsprofiler kommer att ingå i myndighetens löpande arbete för vidareutveckling av stöd inom it-säkerhet.

MSB deltar också i internationella mötesforum samt bedriver om- världsbevakning kring CC-standarden, både på nationell och interna- tionell nivå, för att i första hand kunna inventera och representera det civila samhällets behov av produktkategorier som är lämpliga att ta fram skyddsprofiler emot.

Myndigheten har också särskilda samordningsuppgifter för verk- samhet som omfattas av lagen om samhällsviktiga tjänster (NIS- direktivet). Till det kommer det arbete och de föreskrifter som myn- digheten tar fram för statliga myndigheters informationssäkerhets- arbete.

Myndigheten har också teknisk kompetens inom ramen för det arbete som bl.a. bedrivs vid CERT-SE och RAKEL-verksamheterna

Nationell myndighet för cybersäkerhetscertifiering SOU 2020:58

samt inom ramen för det stöd man lämnar till ledningsplatser och signalskydd. CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stödja samhället i arbetet med att hantera och förebygga IT-incidenter. Till uppgif- terna hör bl.a. att agera skyndsamt vid inträffade IT-incidenter genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade, samverka med myndigheter med särskilda uppgifter inom informationssäkerhetsområdet och vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder samt utveckla samarbetet och informationsutbytet med dessa. Vid den nationella CSIRT funktionen finns medarbetare med en bred teknisk kompetens inom bland annat it-säkerhet.

MSB ska vidare enligt den nationella handlingsplanen ta fram och förankra en treårig handlingsplan för ett strategiskt och långsiktigt arbete med standardisering avseende systematiskt och riskbaserat informationssäkerhetsarbete. Åtgärden genomförs tillsammans med FMV/CSEC, berörda myndigheter och organisationer.

MSB har dock ingen djupare teknisk kompetens på området för produktcertifieringar och skulle därför behöva bygga upp, etablera och utveckla en sådan verksamhet. Ett alternativ till en sådan åtgärd skulle vara att överföra CSEC:s certifieringsverksamhet och ansvar som nationellt certifieringsorgan för IT-säkerhet till MSB. Frågan om en sådan överföring har tidigare varit föremål för övervägande i NISU 2014-utredningen9_{. Utredningen fann vid den tidpunkten dock} inte skäl att förslå någon organisatorisk förändring av CSEC:s verk- samhet.

Samtidigt kan noteras att MSB till skillnad från FMV redan i dag bedriver tillsyn inom tilldelade ansvarsområden Myndighetens till- synsverksamhet bedrivs inom tre delområden som är tillsyn, tillsyns- vägledning och marknadskontroll.

Post- och telestyrelsen (PTS)

PTS är en myndighet med ansvar för elektronisk kommunikation och som sådan en mycket central aktör för säkerhetsarbete på detta område De europeiska certifieringsscheman som kan komma att

SOU 2020:58 Nationell myndighet för cybersäkerhetscertifiering

antas inom ramen för cybersäkerhetsakten kan förväntas omfatta all typ av informations- och kommunikationsteknologi (IKT) och som berör all samhällsverksamhet. Samtidigt kan noteras att myndigheten har begränsad erfarenhet av arbete med nu aktuella cybersäkerhets- certifieringar och saknar därmed den tekniska specialistkompetens som krävs på certifieringsområdet.

Utredningen gör bedömningen att PTS nuvarande roll, ansvar och verksamhet på elektronik- och telekommunikationsområdet, som inte innefattar aktuell certifieringsverksamhet, skulle medföra att myndigheten skulle behöva bygga upp en verksamhet med kom- petens och teknisk expertis som möter kraven i cybersäkerhetsakten på förmåga till omvärldsbevakning inom cybersäkerhet och cyber- säkerhetscertifiering, förmåga till samverkan inom området och för- måga att verka som nationell myndighet för cybersäkerhetscerti- fiering på högsta assuransnivån.

Försvarets materielverk föreslås utses till nationell myndighet för cybersäkerhetscertifiering

Utredningen kan till en början konstatera att såväl FMV/CSEC, som MSB och PTS har uppgifter och bedriver verksamhet inom området för informations- och kommunikationsteknologi (IKT). Utred- ningen bedömer samtidigt att finns både fördelar och nackdelar när det gäller vilken av dessa myndigheter som bör anförtros uppdraget att vara nationell myndighet med ansvar för de uppgifter som följer av det europeiska ramverket för cybersäkerhetscertifiering.

Till FMV:s fördel talar att myndigheten genom sitt uppdrag att bl.a. vara nationell myndighet för certifiering av system och pro- dukter inom it-säkerhet redan har en bred och djup kunskap om cybersäkerhetscertifiering och även lång erfarenhet av både omvärlds- bevakning av dessa frågor samt internationell och nationell samverkan med andra berörda aktörer på området. Inom myndigheten finns redan organisatoriskt CSEC som ett ackrediterat organ för bedöm- ning enheten av överensstämmelse vid certifiering av system och produkter på området it-säkerhet.

Även om MSB respektive PTS har redovisade uppgifter och an- svar inom informations- och kommunikationsteknologi bedriver ingen av dessa myndigheter verksamhet som innefattar prövning och teknisk bedömning för cybersäkerhetscertifiering, vilket innebär att

Nationell myndighet för cybersäkerhetscertifiering SOU 2020:58

CSEC:s verksamhet skulle behöva föras över till en av dessa myndig- heter alternativt att motsvarande verksamhet skulle behöva byggas upp vid myndigheten. Även uppgifterna avseende omvärldsbevak- ning och samverkan på området skulle enligt utredningens bedöm- ning förutsätta att kompetens tillförs och byggs upp för att möta kraven på dessa områden enligt cybersäkerhetsakten. Kraven på orga- nisatoriska förändringar i form av ett överförande av CSEC till en av dessa myndigheter och ett ökat resursbehov för kompetensupp- byggnad bedömer utredningen inte medföra några fördelar i för- hållande till att motsvarande verksamhet utvecklas vid FMV.

Sammantaget talar det angivna för – enligt utredningens bedöm- ning – för att FMV bör anförtros uppgiften att vara nationell myndig- het för cybersäkerhetscertifiering för med ansvar för omvärldsbevak- ning, samverkan och certifieringsverksamhet på högsta assuransnivån. Det medför att myndigheten bör få uppdraget att vara den nationella myndigheten för cybersäkerhetscertifiering som anges i artikel 56.5 a, och 56.6. FMV får då i uppgift att vara den nationella myndighet som enligt artikel 56.6 får utfärda cybersäkerhetscertifikat när en euro- peisk ordning för cybersäkerhetscertifiering som antagits enligt arti- kel 49 kräver assuransnivå hög. Efter förhandsgodkännande av myn- digheten får ett sådant enskilt europeiskt cybersäkerhetscertifikat även utfärdas av ett organ för bedömning av överensstämmelse. Myn- digheten får även genom allmän delegering på förhand till ett organ för bedömning av överensstämmelse ge detta tillstånd att utfärda europeiskt cybersäkerhetscertifikat.

Utredningen vill i detta sammanhang framhålla att det europeiska ramverket för cybersäkerhetscertifiering är under införande i med- lemsstaterna och någon europeisk ordning för sådan certifiering har ännu inte antagits, även om ett utkast till sådan ordning offentlig- gjorts under utredningstiden. Det innebär att den framtida omfatt- ningen av certifieringsverksamheten på grundval av en eller flera sådana europeiska ordningar blir svår att bedöma och därför även dess organisatoriska och resursmässiga konsekvenser. Detta innebär enligt utredningen att nu aktuella frågeställningar bör tas upp till ny bedömning när omfattningen och resursbehovet av certifierings- verksamheten närmare kan bedömas.

Utredningens överväganden och förslag när det gäller frågan om FMV även bör ha ansvar för tillsynsfunktion eller om det är lämp- ligare och mer ändamålsenligt att ansvaret för certifierings- respektive

SOU 2020:58 Nationell myndighet för cybersäkerhetscertifiering

tillsynsverksamheten fördelas på två olika myndigheter behandlas nedan i avsnitt 8.4.