Hoppa till innehåll

Framställan avseende effektiva möjligheter att dela hotinformation vid cyberangrepp

Rättsliga förutsättningar att dela hotinformation om cyberangrepp idag

Det råder i dag otydliga eller obefintliga rättsliga förutsättningar för att dela hotinformation om cyberangrepp mellan företag samt mellan företag och myndigheter. Detta försvårar möjligheten att snabbt upptäcka och bemöta cyberhot, vilket utgör en allvarlig risk för Sveriges säkerhet.

Artikel 10 i dataskyddsförordningen (EU) 2016/679 rör behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser. Integritetsskyddsmyndigheten (IMY) har i sitt rättsliga ställningstagande IMYRS 2021:1 angett att artikel 10 inkluderar ”misstanke om brott”. Denna tolkning av artikel 10 begränsar möjligheten att dela information om cyberhot, exempelvis IP-adresser vid pågående cyberangrepp, i de fall dessa kan betraktas som personuppgifter och därmed omfattas av dataskyddsreglering vid misstänkt dataintrång.

Det finns idag ingen tydlig rättslig grund som gör det möjligt för andra än myndigheter att behandla personuppgifter för att förhindra cyberangrepp eller begränsa dess effekter. Gällande lagstiftning och tillämpningen av den medför därför att Sveriges förmåga att förhindra cyberangrepp och begränsa dess effekter är begränsad på ett mycket olämpligt sätt. Dessutom kan den nuvarande ordningen stå i strid med EU-rätten, då artikel 29.1 i direktiv (EU) 2022/2555 (NIS-2-direktivet) föreskriver att sådan information ska kunna delas inte bara mellan myndigheter, utan även med, från och mellan privata aktörer.

Risken för att personuppgifter behandlas vid hotdelning om cyberangrepp

Informationsdelning avseende cyberhot kan till exempel ske i en så kallad ”Malware Information Sharing Platform” (MISP). I en MISP hanteras bland annat IP-adresser och e-postadresser kopplade till misstänkta cyberhot eller andra skadliga incidenter. Dessa uppgifter kan i vissa fall, beroende på innehåll och karaktär, utgöra personuppgifter. Vidare kan ytterligare uppgifter om typen av hot och aktivitet registreras; sådana uppgifter kan endast utgöra personuppgifter om de kopplas till annan identifierande information.

I en MISP är det osannolikt att majoriteten av IP-adresser utgör personuppgifter eftersom de ofta är dynamiska och ”maskade”, vilket gör det svårt att spåra dem till en specifik användare. E-postadresser kan också utgöra personuppgifter om de innehåller en persons namn eller annan identifierande information, vilket sannolikt endast kommer att förekomma i ytterst få fall i samband med rapportering i en MISP. Även om uppgifterna i en MISP nästan uteslutande väntas bestå av uppgifter där det föreligger en obefintlig eller försumbar risk för identifiering, går det sammantaget inte att utesluta all förekomst av personuppgifter i en MISP.

Hemställan

SOFF anser att det måste säkerställas effektiva möjligheter för både privata och offentliga aktörer att behandla och dela uppgifter om cyberhot, även när dessa uppgifter kan omfatta personuppgifter såsom IP-adresser och e-postadresser.

En rättslig möjlighet att dela information om hotinformation, inbegripet angreppsindikationer såsom IP-adresser, är också en förutsättning för att Sverige ska kunna uppfylla kraven i artikel 29 i NIS 2-direktivet.

SOFF hemställer om att regeringen skapar rättsliga förutsättningar för både privata och offentliga aktörer att behandla och dela personuppgifter rörande lagöverträdelser när behandlingen syftar till att motverka, identifiera och bemöta cyberhot.

SOFF bedömer att en genomförande av förslagen ovan kan bidra till att uppnå försvarsindustristrategins mål om ökad innovation och samverkan. Genomförande av förslagen är också en förutsättning för att möjliggöra ett starkt svenskt cyberförsvar.