Datum: 2016-02-01
2015-5108
Myndigheten för samhällsskydd och beredskap
registrator@msb.se
Skatteverket har i korthet följande synpunkter på förslaget.
Skatteverket efterlyser en redogörelse för om de sekretessbelagda uppgifter som Skatteverket och andra myndigheter kan komma att lämna till MSB omfattas av någon sekretess hos MSB och – i så fall – vilken styrka sekretessen har.
Skatteverket anser att något förtydligande behöver göras i föreskrifter eller allmänna råd så att det tydligt framgår att en incident som berör riktighet kan vara rapporteringspliktig.
Skatteverket rekommenderar att beskrivningen i förslagets 3 § förenklas samt att förklaringar och detaljinformation istället lämnas i allmänna råd eller kommentarer.
Skatteverket anser att benämningarna på rapportering i rapporteringsprocessen kan förenklas.
Skatteverket avstyrker att begreppet preliminär rapport används och föreslår en annan formulering av 8 §.
Skatteverket har synpunkter på beskrivningen om kompletterande uppgifter.
Skatteverket har inte kunnat utläsa vad de råd som hänvisar till cert.se innebär då dessa råd inte var tillgängliga.
Skatteverket lämnar synpunkter på förklaringar av begreppen it och dataläckage samt någon synpunkt av teknisk natur.
Det framgår inte av förslaget om de sekretessbelagda uppgifter som Skatteverket och andra myndigheter kan komma att lämna till MSB omfattas av någon sekretess hos MSB och – i så fall – vilken styrka sekretessen har. Skatteverket efterlyser en redogörelse för detta.
Oklarhet kring sekretessfrågorna kan leda till merarbete och till kortfattad allmänt hållen information i rapporterna.
Den uppgiftsskyldighet för myndigheter som regleras i föreskriftens 6 § innebär att Skatteverket kan behöva lämna ut uppgifter som är sekretessbelagda. Det kan exempelvis röra sig om uppgifter som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd och som är sekretessbelagda enligt 18 kap. 8 § offentlighets- och sekretesslagen, 2009:400, OSL.
Bestämmelsen i föreskriftens 7 § innehåller en uppgiftsskyldighet för myndigheter att lämna ”de uppgifter som behövs”. Vid utlämnande av uppgifter med stöd av denna bestämmelse kan Skatteverket behöva lämna ut uppgifter som är sekretessbelagda. Det kan exempelvis röra sig om uppgifter som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd och som är sekretessbelagda enligt 18 kap. 8 § OSL. Det kan eventuellt även röra sig om uppgifter som förekommer i Skatteverkets olika verksamhetsgrenar och som är sekretessbelagda där, t.ex. uppgifter inom beskattningsverksamheten som omfattas av absolut sekretess enligt 27 kap. OSL.
Skatteverket anser att något förtydligande behöver göras i föreskrifter eller allmänna råd så att det tydligt framgår att en incident som berör riktighet är rapporteringspliktig om den allvarligt kan påverka säkerheten.
I förslag till föreskrifter och allmänna råd nämns främst incidenter som berör tillgänglighet eller konfidentialitet. Skatteverket vill framhålla att även om det är ovanligt så kan incidenter som berör riktighet förekomma. Skatteverket tolkar dock förordningen som att även en sådan incident är rapporteringspliktig om den allvarligt kan påverka säkerheten.
I förslag till föreskrifter 3 § två sista styckena regleras rapporteringspliktiga incidenter och ges exempel som är komplexa att beskriva och tolka i författning. Skatteverket rekommenderar att dessa stycken förenklas samt att detaljinformation och exempel istället lämnas i allmänna råd eller kommentarer.
Skatteverket avstyrker att begreppet preliminär rapport används då detta begrepp är otydligt.
I förslag till föreskrifter och allmänna råd benämns nu tre steg i rapporteringsprocessen: fullständig rapport, kompletterande uppgifter och preliminär rapport. Preliminär rapport sägs endast ska användas i undantagsfall.
Skatteverket föreslår istället att följande enklare benämningar används.
Rapport (6 §) Kompletterande uppgifter (7 §) Samråd när rapport inte kan lämnas (8 §)
Det är otydligt beskrivet vad en preliminär rapport är i rapporteringsprocessen. Det är mindre vanligt att en sådan it-relaterad incident som allvarligt kan påverka säkerheten är fullständigt utredd inom 24 timmar. Skatteverket bedömer att flertalet incidentrapporter enligt 6 § därför kommer att innehålla information som på någon eller några punkter ännu inte är fullständigt utredd. En rapport baseras på den information som finns att tillgå vid inrapporteringstillfället.
Skatteverket avstyrker att begreppen preliminär rapport respektive fullständig rapport används i dessa sammanhang.
Skatteverket föreslår att 8 § förenklas till att lyda som följer.
Om en it-incident inte kan rapporteras
8 § En myndighet som inte kan lämna en rapport enligt 6 § ska, innan tidsfristen går ut, ta kontakt med Myndigheten för samhällsskydd och beredskap för samråd om it-incidenten.
Myndigheten ska därefter snarast, dock senast inom två veckor från att it-incidenten upptäcktes, lämna en rapport enligt 6 § om inget annat överenskommits med Myndigheten för samhällsskydd och beredskap.
I förslag till föreskrifter är 7 § första meningen onödigt lång och svårtolkad. Skatteverket föreslår att den meningen alternativt kan lyda som följer.
7 § På begäran av Myndigheten för samhällsskydd och beredskap ska en rapporterande myndighet komplettera inlämnade uppgifter om en it-incident med de uppgifter som behövs för att stödja arbetet med samhällets informationssäkerhet.
MSB kan även överväga att ge rapporterande myndigheter möjlighet att komplettera i de fall då det under rapporterande myndighets fortsatta incidentutredning framkommer att tidigare lämnade uppgifter varit missvisande.
I förslag till allmänna råd görs hänvisningar till att information finns tillgänglig på cert.se. I flera fall har dock sådan information inte gått att finna på cert.se. Ett exempel rör begreppet allvarlig. Skatteverket kan inte utläsa vad föreslagna råd i dessa delar innebär och vilka konsekvenser de får
Begreppet it bör här även omfatta teknik för utplåning eller förstöring av information.
Förslaget anger att dataläckage innebär att någon på obehörigt sätt skaffat sig tillgång till myndighetens information. Men det behöver inte enbart vara fråga om sådana situationer då någon avsiktligen skaffat sig tillgång till informationen. Även oavsiktliga läckage av information till en eller flera obehöriga personer bör kunna utgöra dataläckage.
Skatteverket föreslår att allmänna rådet kan formuleras enligt följande. ”Dataläckage innebär att myndighetens information inte gått förlorad men att någon obehörig har fått tillgång till den”.
Andra stycket: Femte ordet ”som” verkar har smugit sig in felaktigt och bör tas bort.
Vill du lära dig mer om skatter och företagande? Ta då chansen och möt oss online på våra direktsända webbseminarier. Det är kostnadsfritt och du kan ställa frågor och få svar i en chatt.