Utredningens uppdrag

Regeringen beslutade den 26 september 2019 att ge en särskild ut- redare i uppdrag att kartlägga och analysera statliga myndigheters behov av säker och kostnadseffektiv it-drift samt hur dessa behov tillgodoses (bilaga 1). Utredaren ska också analysera säkerhetsmässiga och rättsliga förutsättningar för samordnad statlig it-drift och lämna förslag på mer varaktiga former för sådan it-drift, om det bedöms lämpligt ur ett säkerhetsperspektiv, och de författningsförslag som detta kräver. Utredaren ska vidare analysera de rättsliga förutsätt- ningarna för statliga myndigheter, kommuner och regioner att med bibehållen säkerhet utkontraktera it-drift till privata leverantörer och vid behov lämna författningsförslag.

Syftet med utredningen är att skapa bättre förutsättningar för den offentliga förvaltningen att få tillgång till säker och kostnadseffektiv it-drift genom antingen samordnad statlig it-drift eller tydligare rätts- liga förutsättningar för att kunna anlita privata leverantörer av it-drift.

Enligt direktiven ingår följande delar i uppdraget:

– Kartläggning och analys av statliga myndigheters behov av it-drift – Omvärldsanalys för att kartlägga och analysera relevanta modeller

för myndigheters it-drift nationellt och internationellt

– Analys av de rättsliga förutsättningarna för utkontraktering av it- drift till privata leverantörer

– Utvärdering av Försäkringskassans regeringsuppdrag om samord- nad och säker statlig it-drift

Utredningens uppdrag och arbete SOU 2021:1

36

– Analys av säkerhetsmässiga och rättsliga förutsättningar för sam- ordnad statlig it-drift

– Förslag på varaktiga former för samordnad statlig it-drift – Konsekvensanalys.

Genom tilläggsdirektiv den 2 juli 2020 (bilaga 2) förlängdes utred- ningstiden. Uppdragen att kartlägga och analysera statliga myndig- heters it-drift och de rättsliga förutsättningarna för utkontraktering, inklusive eventuella författningsförslag, ska redovisas senast den 15 januari 2021. Uppdraget att föreslå mer varaktiga former för sam- ordnad statlig it-drift ska redovisas senast den 15 oktober 2021.

2.2

Centrala begrepp

I detta betänkande förekommer ett antal begrepp som är centrala i utredningen. Det handlar om begreppen säker, kostnadseffektiv, it-

drift och utkontraktering. Begreppen har inga generellt fastlagda defini-

tioner utan de beskrivs vanligen utifrån det sammanhang de används i. Vi har därför behövt definiera hur begreppen ska användas i upp- draget. Begreppen säker och kostnadseffektiv it-drift behöver dess- utom ställas i relation till och balanseras gentemot varandra.

2.2.1 Säker

I utredningsdirektiven relateras begreppet säker till de krav som ställs för säkerhetsskydd, informationssäkerhet samt sekretess och skydd för den personliga integriteten.

Begreppet säkerhet avser i säkerhetsskyddslagen (2018:585) verk- samheter och hantering av uppgifter som rör Sveriges säkerhet. I lagen specificeras vilka verksamheter som omfattas av lagen och vad som avses med begreppet säkerhetsskydd och säkerhetsskyddsklassificerade uppgifter. Både offentliga och privata aktörer ska utifrån säkerhets- skyddslagen bedöma om de bedriver verksamhet som är av betydelse för Sveriges säkerhet och om de hanterar säkerhetsskyddsklassi- ficerade uppgifter samt vidta åtgärder med anledning av detta.

SOU 2021:1 Utredningens uppdrag och arbete

Informationssäkerhet innebär att information, oavsett vilken den är, får det skydd som behövs avseende konfidentialitet, riktighet och tillgänglighet. Det gäller såväl hos enskilda som hos organisationer, både i näringslivet och i offentlig verksamhet. Informationssäkerhet omfattar därför hela samhället. Ett systematiskt och riskbaserat informationssäkerhetsarbete syftar till att skapa förutsättningar för att över tid upprätthålla informationssäkerhet som svarar mot identi- fierade behov. Reglering som ställer krav på organisationer att bedriva ett systematiskt och riskbaserat arbete finns främst i förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap samt lagen (2018:1174) om informa- tionssäkerhet för samhällsviktiga och digitala tjänster.

Dataskydd är ett begrepp som används för att ange skyddet för den personliga integriteten i de regelverk som ska tillämpas vid be- handling av personuppgifter.Med säker avses här att aktörer som behandlar personuppgifter måste säkerställa en lämplig nivå av infor- mationssäkerhet vid behandlingen. Dataskyddsregelverket är dock inte begränsat till ett krav på säkerhet, utan behandlingen av person- uppgifter måste ske i enlighet med dataskyddsregelverket i sin helhet.

Begreppet säker i relation till it-drift kan avse olika nivåer i sam- hället – från säkerhet för enskilda personer, verksamheter eller sektorer, till säkerhet för riket som helhet. Beroende på verksamhet och vilka uppgifter som hanteras i verksamheten ställs olika krav på säkerhet. Varje aktör ansvarar för att klargöra vilka krav på säkerhet deras verksamhet och uppgifter omfattas av. Samtidigt måste definitionen av säker omfatta även ett bredare samhällsperspektiv, dvs. hela den offentliga förvaltningen. Utifrån detta resonemang behöver begreppet säker definieras både på aktörs- och samhällsnivå. På samhällsnivå bör begreppet relateras till olika hotbilder i samhället.

Med säker på aktörsnivå avses att en offentlig aktörs it-drift lever upp till för verksamheten rättsliga och säkerhetsmässiga krav, exem- pelvis krav på säkerhetsskydd och informationssäkerhet samt sekre- tess och skydd för den personliga integriteten. I begreppet ingår även förmåga att kontinuerligt bedriva ett systematiskt och riskbase- rat informationssäkerhetsarbete som omhändertar förändrade krav och risker. Detta innebär att säkerhet för en aktör ska bedömas uti- från de olika förutsättningar i samhället under vilka aktören ska verka enligt sitt uppdrag. Säkerhet kan därför inte endast bedömas utifrån

Utredningens uppdrag och arbete SOU 2021:1

38

informationsklass eller tillgänglighet i normalläget utan även vid sam- hällskriser eller höjd beredskap.

Med säker på samhällsnivå avses att it-driften i den offentliga förvaltningen som helhet är organiserad på ett sådant sätt att den kan stå emot olika störningar och hotnivåer i samhället. I detta samman- hang är begreppet robusthet nära kopplat till säker, dvs. en förmåga att stå emot störningar till följd av såväl yttre som inre påverkan. Det handlar här inte bara om tillgänglighetsaspekten utan exempelvis även störningar orsakade av att information blir obehörigt förändrad och inte kan användas på avsett sätt. En robust och säker it-drifts- lösning på samhällsnivå tar hänsyn till olika typer av risker, exem- pelvis vad gäller koncentration av data eller störningar i andra infra- strukturer såsom elektroniska kommunikationer som tillgången till it-driftslösningen är beroende av. Den tar också hänsyn till olika former av naturhändelser, skadegörelse och inbrott samt beroende på skyddsvärdet även antagonistiska angrepp och förhållanden som råder under höjd beredskap och krig. Detta blir särskilt relevant när det gäller lösningar för en samordnad statlig it-drift. Om säkerheten hos enskilda aktörer är låg kan en samordnad lösning bidra till att höja säkerheten både för den enskilda aktören och för en större del av samhället som helhet. Det har även betydelse ur ett totalförsvars- perspektiv.

2.2.2 Kostnadseffektiv

Enligt budgetlagen (2011:203) ska hög effektivitet eftersträvas i statens verksamhet och god hushållning iakttas. Av myndighets- förordningen (2007:515) framgår att myndigheter ska hushålla väl med statens medel. Kommuner och regioner ska enligt kommunal- lagen (2017:725) ha en god ekonomisk hushållning i sin verksamhet.

Kostnadseffektivitet avser förhållandet mellan de resurser som används och hur väl ett mål eller förväntat resultat uppnås. Offent- liga aktörer ska inte använda mer resurser än vad som är nödvändigt för att uppnå de krav som ställs på verksamheten.

När det gäller it-drift kan kostnadseffektiviteten påverkas av flera faktorer, som t.ex. dimensioneringen av it-drift, val av it-driftslös- ning (egen regi, utkontraktering eller samordnad it-drift), utbudet av tjänster och leverantörer, tjänsternas utformning (exempelvis skal-

SOU 2021:1 Utredningens uppdrag och arbete

barhet) och avtalsrelaterade frågor. Leverantörsberoenden och andra inlåsningseffekter kan påverka kostnadseffektiviteten negativt. Lång- siktiga avtal med en leverantör som har stora kunskaper om verk- samheten kan å andra sidan vara en kostnadseffektiv lösning.

Utifrån utredningens uppdrag om säker och kostnadseffektiv it- drift måste kostnadseffektivitet också ställas i relation till säkerhet. Behovet av säkerhet varierar mellan aktörer, verksamheter, inom verksamheter och beroende på vilka uppgifter som hanteras. Varje aktör måste utifrån de krav som ställs på verksamheten göra en riskanalys och utifrån den avgöra vilken säkerhet som krävs och hitta kostnadseffektiva lösningar för it-driften. En alltför hög säkerhets- nivå i förhållande till de krav som ställs kan ge för höga kostnader. Å andra sidan kan en för låg säkerhet, utöver rent säkerhetsmässiga konsekvenser, ge ökade kostnader i form av minskat förtroende för verksamheten och de tjänster som erbjuds.

För att hitta rätt balans mellan säkerhet och kostnad kan begreppet

ändamålsenlig användas. En ändamålsenlig lösning för it-drift inne-

bär att den uppfyller de krav på funktion och säkerhet som ställs i olika delar av verksamheten till lägsta möjliga kostnad.

Precis som med begreppet säker bör kostnadseffektivitet analy- seras både på aktörsnivå och på samhällsnivå. En it-driftslösning som är kostnadseffektiv för en enskild aktör behöver inte vara det för en annan. På samhällsnivå kan en gemensam it-driftslösning vara kost- nadseffektiv och ändamålsenlig om den anpassas till gemensamma behov och krav på säkerhet.

2.2.3 It-drift

It-drift är ett begrepp vars innebörd förändras i och med utveck- lingen av utbud och efterfrågan av nya it-tjänster på marknaden. Enligt utredningsdirektiven har it-drift ingen ”tydlig avgränsning utan omfattar både fysisk hårdvara som servrar och datorer, och mjukvara som datorprogram och operativsystem”. I Kammarkollegiets vägled- ning för avrop på ramavtalet för ”IT Drift” används begreppet för

[…] både ’traditionell’ serverdrift som produceras av leverantören (eller hos underleverantör) och tredjepartstjänster (t.ex. molntjänster) som produceras av tredjepartsleverantör; exempelvis avseende applikationer, datorkapacitet, klienthanteringstjänster, datalagring och säkerhetskopiering.

Utredningens uppdrag och arbete SOU 2021:1

40

It-drift beskrivs bestå av ett antal tjänster som antingen bygger på varandra eller kompletterar varandra (Figur 2.1).

Figur 2.1 Kammarkollegiets modell för it-drift

Källa: Statens inköpscentral, Vägledning för avrop från IT Drift.

I betänkandet har vi valt att beskriva it-drift som en aktivitet snarare än en tjänst, närmare bestämt aktiviteten att underhålla och hantera hårdvara och mjukvara (Figur 2.2). Detta hindrar dock inte att denna aktivitet kan paketeras som en tjänst, vilken den ofta gör. Beskriv- ningen underhåll och hantering av hård- och mjukvara har potential att omfatta det mesta en it-avdelning gör. Det som är specifikt för it-drift är dock att denna aktivitet syftar till att skapa förutsättningar för att utveckla eller förvalta de system och applikationer en verk- samhet använder, dvs. de tidiga aktiviteter i en värdekedja som leder fram till slutanvändaren. Uttryckt på ett annat sätt bör t.ex. inte systemutveckling betraktas som it-drift med detta synsätt, men där- emot underhåll och hantering av de fysiska eller virtuella serverar som utvecklade system körs på. Det bör understrykas att det i prak- tiken kan vara svårt att skilja it-drift från t.ex. it-förvaltning. Nya metoder och arbetssätt inom systemutveckling har dessutom gjort att rollerna för utvecklare, förvaltare och it-driftstekniker överlappar varandra i allt större utsträckning. Mot bakgrund av denna proble- matik har vi valt en allmänt hållen beskrivning, med ansatsen att för- söka avgränsa oss i sammanhang där det är möjligt, snarare än att slå fast en snäv definition som riskerar att bli svår att tillämpa.

SOU 2021:1 Utredningens uppdrag och arbete

Figur 2.2 It-drift och närliggande tjänster

Källa: Egen illustration.

I Kammarkollegiets definition av it-drift är tjänstebegreppet centralt. Tjänst beskriver här ”de leveranser som utförs för att uppfylla ställda krav eller avtalad specifikation, enligt en fördefinierad leveransprocess”. För vissa typer av it-tjänster är det vanligt att tala om tjänstenivåavtal (eng. Service Level Agreement) som reglerar skyldigheter och rättig- heter mellan en beställare och en utförare. I betänkandet använder vi begreppet tjänst för att beskriva vad som levereras inom ramen för en affärsmässig transaktion mellan en upphandlande myndighet och en privat tjänsteleverantör, en överenskommelse mellan myndig- heter eller internt inom en verksamhet. Konsekvensen av detta syn- sätt är att it-drift är en aktivitet som kan tillhandahållas som en tjänst i samband med utkontraktering till tjänsteleverantör, men även genom samordning inom staten eller t.o.m. inom en verksamhet. Det bör dock poängteras att det inte är naturligt för alla verksamheter att beskriva it-drift som en tjänst, eftersom aktiviteten och transak- tionen inte alltid är formaliserad.

Utöver it-drift har vi valt att definiera hantering och underhåll av it-arbetsplats och support som närliggande tjänster. Support och help- desk avser i detta sammanhang sådana servicefunktioner som finns till för slutanvändare, dvs. medarbetare i myndigheternas kärnverk- samheter. Teknisk support är även en naturlig del av det underhåll och den hantering av hårdvara och mjukvara som utgör it-drift, men riktar sig då främst till it-avdelningar.

Utredningens uppdrag och arbete SOU 2021:1

42

En annan närliggande tjänst är samlokalisering av servrar och annan it-utrustning, vilket också kallas co-location. Med samlokali- sering avses vanligtvis att en myndighet eller ett företag hyr ett ut- rymme i ett annat företags datacenter där myndigheten eller före- taget kan ställa servrar och annan it-utrustning.

2.2.4 Molntjänster

It-drift är en nödvändig del i att tillhandahålla molntjänster och i vissa fall används molntjänster och it-driftstjänster synonymt. Moln- tjänst används för att beskriva en viss typ av it-tjänst som går ut på att leverera datorresurser organiserade i ett datormoln. Datormoln kommer från engelskans ”Cloud Computing” och finns numera defi- nierat i en rad standarder och specifikationer. Begreppet finns även definierat i 2 § 7 p. i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, där det framgår att en moln- tjänst är

är en tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser.

Skalbar avser här dataresurser som leverantören av molntjänster fördelar på ett flexibelt sätt, oberoende av resursernas geografiska läge, för att hantera fluktuationer i efterfrågan. En elastisk pool av dataresurser används vidare för att beskriva dataresurser som avsätts och utnyttjas beroende på efterfrågan för att tillgängliga resurser snabbt ska kunna utökas och minskas i takt med arbetsbördan.

Swedish Standards Institute (SIS) har antagit en svensk standard (ISO/IEC 17788:2014, IDT) som fastslår att en molnbaserad dator- tjänst är ett

koncept som möjliggör nätverksåtkomst till en skalbar och elastisk pool av delade fysiska eller virtuella resurser som via självbetjäning levereras och administreras på begäran.

Det amerikanska standardiseringsorganet National Institute for Stan- dards and Technology (NIST) publicerade redan 2011 en definition (SP 800-145) av datormoln som fått stor spridning. Enligt NIST:s definition är ett datormoln en

model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks,

SOU 2021:1 Utredningens uppdrag och arbete

servers, storage, applications and services) that can be rapidly provisioned and released with minimal management effort or service provider inter- action.

I NIST:s definition beskrivs datormoln ha fem egenskaper, nämligen att

– en användare genom självservice bestämma kapacitet utifrån be- hov utan att involvera en mänsklig operatör,

– tillgång till datormolnet sker via nätverk och genom standard- enheter såsom datorer, mobiltelefoner och surfplattor,

– användaren delar datormolnets resurser med andra användare, – de resurser och den kapacitet som användaren har tillgång till kan

skalas upp och ned elastiskt, och

– resursutnyttjande kan mätas (bl.a. för att avgöra hur kunder ska debiteras om datormolnet tillhandahålls som tjänst).

Definitionen innehåller även följande tre leveransmodeller (även kallade molntjänstkategorier i delbetänkandet).

– Software as a Service (SaaS), som ger användaren möjlighet att an- vända de applikationer som finns i datormolnet. Applikationerna är tillgängliga genom olika klienter, antingen tunna klienter såsom webbläsare eller programgränssnitt. Användaren hanterar och kontrollerar inte underliggande molninfrastruktur inklusive nät- verk, servrar, operativsystem, lagring eller applikationsmiljö med undantag för applikationens användarinställningar.

– Platform as a Service (PaaS), som ger användaren möjlighet att implementera applikationer denne själv utvecklat eller anskaffat som kräver stöd från programmeringsspråk, bibliotek, tjänster eller verktyg som tillhandahålls genom datormolnet. Användaren hanterar eller kontrollerar inte underliggande molninfrastruktur inklusive nätverk, servrar, operativsystem, lagring, men har kon- troll över implementerade applikationer och möjligen konfigura- tionen av deras miljö.

– Infrastructure as a Service (IaaS), som ger användaren tillgång till beräkningskapacitet, lagring, nätverk och andra fundamentala datorresurser med vilka användaren kan implementera och exe-

Utredningens uppdrag och arbete SOU 2021:1

44

kvera godtycklig mjukvara, vilket inkluderar operativsystem och applikationer. Användaren hanterar eller kontrollerar inte under- liggande molninfrastruktur men har kontroll över operativsystem, lagring, implementerade applikationer och möjligen begränsad kon- troll över vissa nätverkskomponenter.

Exempel på populära SaaS, PaaS och IaaS är Gmail, Google App Engine respektive Amazon EC2.

NIST etablerar i sin definition fyra leveransmodeller som beskri- ver förhållandet mellan användaren, andra användare (vanligen be- nämnda som kunder för kommersiella molntjänster) och tillhanda- hållaren av datormolnet (leverantören).

– Privat moln, där tillgång till datormolnets resurser är begränsat till en organisation. Datormolnet kan dock ägas, administreras av en extern leverantör. Det kan rent fysiskt vara placerat i orga- nisationens lokaler eller externt.

– Partnermoln, där tillgång till datormolnets resurser är begränsat till specifika organisationer och användare. Datormolnet kan ägas och administreras av någon eller flera av dessa organisationer eller en extern part. Det kan rent fysiskt vara placerat i organisationens lokaler eller externt.

– Publikt moln, där datormolnet är generellt tillgängligt för allmän- heten, t.ex. för betalande kunder. Datormolnet kan t.ex. ägas och administreras av ett företag, ett lärosäte, en myndighet eller sam- ägas på något sätt. Det är rent fysiskt placerat hos den organi- sation som tillhandahåller det.

– Hybridmoln, där datormolnet är sammanvävt av infrastruktur från andra leveransmodeller såsom privat, partner eller publikt moln.

2.2.5 Utkontraktering

Begreppet utkontraktering har ingen legaldefinition. I utrednings- direktiven anges att ”[m]ed utkontraktering av it-drift avses […] att en myndighet genom offentlig upphandling eller på något annat sätt uppdrar åt en privat leverantör att hantera hela eller delar av myn- dighetens it-drift”. Utkontraktering innebär med denna utgångspunkt att en statlig myndighet, kommun eller region lägger ut en del av den

SOU 2021:1 Utredningens uppdrag och arbete

egna verksamheten på entreprenad. Närmare bestämt handlar det om att en tjänst, process eller verksamhet som annars skulle ha utförts av den statliga myndigheten, kommunen eller regionen själv läggs ut på en privat tjänsteleverantör.

I betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) beskrivs utkontraktering som när en verksamhets- utövare lägger ut drift, underhåll eller skötsel av en viss del av sin verksamhet till en utomstående leverantör. Det kan t.ex. handla om att man lägger ut underhållet av ett system eller utveckling av någon produkt på en extern leverantör. Oavsett vilken definition som an- vänds, torde det leda till i allt väsentligt samma resultat. Det centrala är att det handlar om en del av den egna verksamheten. Vidare be- skrivs att det är centralt att det handlar om någon form av tjänst eller verksamhet och inte om ett köp av varor. Det rör sig således om utkontraktering när en verksamhetsutövare lägger ut hela eller delar av sin it-drift på en extern aktör. Däremot är det inte utkontrak- tering att upphandla teknisk utrustning som behövs för den egna it- driften.

I vårt betänkande utgår vi från att hyra av lokaler inte är att beteckna som utkontraktering. Mot denna bakgrund betraktar vi inte hyra av ett utrymme där en verksamhetsutövare ställer sin it-utrust- ning (samlokalisering eller co-location) som utkontraktering. Det finns nämligen enligt vår mening ingen principiell skillnad mellan att