Informationssäkerhet

Författningar omfattar skyldigheter för olika aktörer att sörja för informationssäkerheten i sina nät och tjänster samt rätten att genomföra dem. Informationssäkerhetsregleringen gäller teleföretag, kommunikationsförmedlare, sammanslutningsabonnenter, domännamnsregistrarer samt digitala tjänster enligt NIS-direktivet, dvs. molntjänster, internetbaserade marknadsplatser och sökmotorer. Skyldigheterna anges främst i lagen om tjänster inom elektronisk kommunikation och de preciseras genom Traficoms föreskrifter. Vi styr och övervakar att informationssäkerhetsskyldigheterna följs.

Med informationssäkerhet avses administrativa och tekniska åtgärder genom vilka det säkerställs informationens

  • konfidentialitet, dvs. att information är tillgänglig endast för dem som har rätt att använda den
  • integritet, dvs. att informationen inte kan ändras av andra än dem som har rätt till detta samt
  • användbarhet, dvs. att informationen och informationssystemen kan utnyttjas av dem som har rätt att använda informationen och systemen.

SKYLDIGHETERNA FÖR LEVERANTÖRER AV DIGITALA TJÄNSTER

På denna sida berättar vi om säkerhetsrelaterade rättigheter och skyldigheter för teleföretag, sammanslutningsabonnenter och andra kommunikationsförmedlare samt deras kunder, dvs. abonnenter. Skyldigheterna för leverantörer av digitala tjänster som avses i NIS-direktivet uppräknas närmare på sidan om digitala tjänster och digital infrastruktur.

Rättigheter och skyldigheter för teleföretag, sammanslutningsabonnenter och andra kommunikationsförmedlare

Med kommunikationsförmedlare avses i lagen om tjänster inom elektronisk kommunikation ett teleföretag, en sammanslutningsabonnent och en sådan annan sådan aktör som förmedlar elektronisk kommunikation. De ska alla sörja för informationssäkerheten i sina tjänster, meddelanden, förmedlingsuppgifter och lokaliseringsuppgifter när de förmedlar meddelanden. Sammanslutningsabonnenters skyldigheter har begränsats så att de inte gäller hela tjänsten utan enbart behandling av meddelanden, förmedlingsuppgifter och lokaliseringsuppgifter.

Informationssäkerhetsåtgärderna ska anpassas till hur allvarliga hot som föreligger, till kostnaderna för åtgärderna och till de tekniska möjligheter att avvärja hoten som står till buds.

Cybersäkerhetscentret vid Traficom har bemyndigande att meddela närmare föreskrifter om informationssäkerhetsskyldigheter för alla kommunikationsförmedlare och om krav på teleföretagens störningsanmälningar. Traficoms föreskrifter är bindande för aktörer. De gäller teleföretagen under normala förhållanden, i störningssituationer under normala förhållanden och under undantagsförhållanden.

Planerings- och underhållsskyldighet

Enligt lagen ska allmänna kommunikationsnät och kommunikationstjänster samt kommunikationsnät och kommunikationstjänster som ansluts till dem planeras, byggas och underhållas bland annat så att:

  • den elektroniska kommunikationens tekniska standard är god och informationssäker,
  • de tål sådana normala klimatrelaterade, mekaniska, elektromagnetiska och andra yttre störningar samt hot mot informationssäkerheten som kan förväntas,
  • mot dem riktade betydande kränkningar av och hot mot informationssäkerheten kan upptäckas liksom också sådana fel och störningar som avsevärt stör deras funktion,
  • inte någons dataskydd, informationssäkerhet eller andra rättigheter äventyras,
  • de inte orsakar oskäliga elektromagnetiska eller andra störningar eller hot mot informationssäkerheten.

Åtgärderna ska beakta

  • säkerheten i verksamheten
  • säkerheten i trafiken
  • säkerheten i utrustningen och programmen
  • säkerheten i datamaterialet.

Rättigheter vid underhåll och hantering av säkerhetshot och -störningar

Alla informationssäkerhetsåtgärder ska utföras omsorgsfullt och de ska stå i rätt proportion till den störning som avvärjs. Åtgärderna ska utföras utan att yttrandefriheten, skyddet av konfidentiella meddelanden eller integritetsskyddet begränsas mer än vad som är nödvändigt med tanke på säkerställandet av möjligheterna att uppnå de mål som har fastställts för att sörja för informationssäkerheten. Åtgärderna ska avslutas om det inte längre finns förutsättningar enligt lagen att vidta dem.

Enligt lagen har kommunikationsförmedlare och aktörer som handlar för deras räkning rätt att vidta nödvändiga åtgärder för att sörja för informationssäkerheten i syfte att

  1. upptäcka, förhindra och utreda störningar som kan inverka menligt på informationssäkerheten i kommunikationsnäten eller tjänster som anslutits till dem samt i informationssystemen och göra störningarna föremål för förundersökning,
  2. trygga kommunikationsmöjligheterna för den som sänder eller tar emot ett meddelande, eller
  3. förhindra i 37 kap. 11 § i strafflagen avsedd förberedelse till sådana betalningsmedelsbedrägerier som planeras bli genomförda i omfattande utsträckning via kommunikationstjänsterna.

De nödvändiga åtgärder som avses i lagen kan omfatta:

  1. automatisk analys av innehållet i meddelanden,
  2. automatiskt förhindrande eller automatisk begränsning av förmedling och mottagande av meddelanden,
  3. automatiskt avlägsnande av sådana skadliga datorprogram ur meddelandena som kan äventyra informationssäkerheten, och
  4. andra åtgärder av teknisk natur som är jämförbara med dem som avses i 1–3 punkten.

Om ett kommunikationsnät, en kommunikationstjänst eller en utrustning orsakar betydande olägenheter eller störningar för ett kommunikationsnät, en kommunikationstjänst, någon annan tjänst som anslutits till kommunikationsnätet, utrustning, eller för kommunikationsnätets användare eller någon annan person, ska teleföretaget eller en annan innehavare av kommunikationsnätet eller utrustningen omedelbart vidta åtgärder för att avhjälpa situationen och vid behov koppla bort kommunikationsnätet, kommunikationstjänsten eller utrustningen från det allmänna kommunikationsnätet.

Föreskrift om televerksamhetens informationssäkerhet

Verket har meddelat teknisk föreskrift 67 om televerksamhetens informationssäkerhet. Föreskrift 67 innehåller bestämmelser om:

  • åtgärder som ska vidtas i fråga om informationssäkerheten i alla företagets kommunikationsnät och -tjänster,
  • särskilda krav på informationssäkerheten i gränssnitt,
  • särskilda krav för internetaccesstjänster,
  • särskilda krav för e-posttjänster, och
  • information till kunderna om informationssäkerhet.

Anmälningar om störningar i televerksamheten och föreskrift om dem

Enligt lagen ska ett teleföretag utan dröjsmål göra en anmälan till Traficom, i praktiken till Cybersäkerhetscentret, om dess tjänster utsätts för eller hotas av betydande kränkningar av informationssäkerheten. Teleföretaget ska också meddela abonnenterna och användarna om saken.

Traficom har meddelat teknisk föreskrift 66 om störningar i televerksamheten som bl.a. preciserar teleföretagets skyldigheter att informera användare om informationssäkerhetsincidenter eller hot om sådana samt att informera Traficom.

Teleföretagen är också skyldiga att informera Traficom samt abonnenter och enskilda personer om alla personuppgiftsbrott. Bestämmelser om denna anmälningsplikt finns i kommissionens förordning 611/2013 (Extern länk).

Teleföretagen kan göra anmälningar till Cybersäkerhetscentret via våra e-tjänster.

Cybersäkerhetscentrets rekommendationer och rådgivning

Förutom förpliktande bestämmelser har Cybersäkerhetscentret också utfärdat flera rekommendationer om informationssäkerheten i kommunikationsnät och -tjänster speciellt för teleföretag. Centret publicerar också statistik och meddelanden om aktuella informationssäkerhetsfenomen och -hot samt anvisningar om att återhämta sig från dem och att skydda sig mot dem.

Kundens eller abonnentens rättigheter och skyldigheter

En abonnent, alltså en juridisk eller fysisk person som för något annat ändamål än televerksamhet har ingått avtal om leverans av kommunikationstjänster eller mervärdestjänster har rätt att kräva att teleföretagens nät och tjänster är informationssäkra. Lagen förutsätter dock att abonnenterna ska administrera utrustning och system som ansluts till ett allmänt kommunikationsnät i enlighet med teleföretagets anvisningar så att de inte äventyrar informationssäkerheten i det allmänna kommunikationsnätet och i de allmänna kommunikationstjänsterna.

Abonnenten ska alltså sörja för informationssäkerheten för sin utrustning. Både teleföretag och tillverkare ger anvisningar och råd för detta. Cybersäkerhetscentret publicerar dessutom varningar och meddelanden om cybersäkerhetshot och relaterad information för återhämtning och skydd.

Registrarernas rättigheter och skyldigheter

Med registrar avses verksamhetsutövare som lämnat in en anmälan om registrarverksamhet i enlighet med lagen om tjänster inom elektronisk kommunikation.

Domännamnsföreskrift

Traficom har meddelat teknisk föreskrift 68 om domännamnsverksamheten (Extern länk).

Domännamnsföreskriften gäller domännamn under toppdomänen fi och ax samt förmedling och administrering av dem. Förutom andra förpliktelser innehåller föreskrift 68 närmare bestämmelser om registrarens informationssäkerhetsskyldigheter. Dessa omfattar:

  • särskilda informationssäkerhetskrav för fi-domännamnsregistrets EPP-gränssnitt (Extensible Provisioning Protocol)
  • hantering av registrarernas informationssäkerhet
  • anmälningar om störningar i informationssäkerheten, dvs. om situationer som stör eller hotar funktionen eller informationssäkerheten, till den myndighet som förvaltar domännamnsregistret.

Läs mer om registrarernas skyldigheter i vår Guide för registrarer (Extern länk) (på finska).

Se vår broschyr om registrarernas informationssäkerhetsskyldigheter (Extern länk) (på finska).