Digitala tjänster och digital infrastruktur
I EU:s direktiv om säkerhet i nätverk och informationssystem (s.k. NIS-direktivet) föreskrivs om informationssäkerhetsskyldigheter och rapportering av störningar i flera olika sektorer. I Finland ingår skyldigheterna i dessa sektorers lagstiftning och övervakas av de relevanta tillsynsmyndigheterna. Vi har tillsyn över digitala tjänster och infrastruktur och vi samordnar det nationella och internationella samarbetet.
Digitala tjänster
Reglering av digitala tjänster enligt NIS-direktivet gäller
- leverantörer av internetbaserade marknadsplatser
- leverantörer av internetbaserade sökmotorer
- leverantörer av molntjänster.
Regleringen gäller inte mikroföretag eller små företag
En närmare definition av dessa företag finns i kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag (Extern länk). Enligt rekommendationen definieras små företag som företag som sysselsätter färre än 50 personer och vars omsättning eller balansomslutning inte överstiger 10 miljoner euro per år. Rekommendationen innehåller närmare anvisningar om till exempel hur eventuella ägarförhållanden beaktas vid beräkning av personalstyrkan och de finansiella trösklarna.
Med andra ord, om personalstyrkan eller de finansiella beloppen hos en leverantör av digitala tjänster, dvs. leverantör av internetbaserad marknadsplats, leverantör av internetbaserad sökmotor eller leverantör av molntjänster överskrider dessa siffror, omfattas verksamheten av regleringen enligt NIS-direktivet.
Informationssäkerhetsskyldigheter och störningsanmälningar för digitala tjänster
Allmänna bestämmelser om skyldigheter för leverantörer av digitala tjänster finns i lagen om tjänster inom elektronisk kommunikation. Tjänsteleverantören ska i praktiken sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som denne använder.
Leverantörer av digitala tjänster ska dessutom utan dröjsmål göra en anmälan till Cybersäkerhetscentret vid Traficom om dess tjänster utsätts för en betydande informationssäkerhetsrelaterad störning, alltså en incident.
Cybersäkerhetscentret välkomnar också frivilliga anmälningar om störningar i digitala tjänster, även om tjänsteleverantörens storlek eller den aktuella störningen inte överskrider de angivna trösklarna. Sådan information hjälper CERT-verksamheten vid Cybersäkerhetscentret att skapa en lägesbild och att producera information för att förebygga incidenter och att återhämta efter dem. Även lagstadgade störningsanmälningar hanteras i första hand vid CERT-verksamheten och som administrativt tillsynsärende endast vid behov.
Närmare bestämmelser om de skyldigheter som leverantörer av digitala tjänster ska beakta när de hanterar risker och incidenter som stör tjänstens funktion finns i kommissionens genomförandeförordning (EU) 2018/151 (s.k. DSP-förordningen) (Extern länk).
I förordningen preciseras följande faktorer som ska beaktas vid riskhanteringen:
- Säkerhetsaspekter
- säkerheten i system och anläggningar
- hantering av informationssäkerhetshot och störningar
- hantering av driftskontinuitet
- övervakning, revision och testning
- iakttagande av internationella standarder
I förordningen preciseras bedömning av störningens betydelse och trösklar för rapportering:
- Parametrar när det fastställs om en incident har avsevärd inverkan
- antalet påverkade användare
- incidentens varaktighet
- det geografiska område som påverkas av incidenten
- funktioner som försämras av incidenten: tillgången, riktigheten, integriteten eller konfidentialiteten i fråga om data eller berörda tjänster
- inverkan på ekonomisk och samhällelig verksamhet
- leverantörer av digitala tjänster ska inte åläggas att samla in ytterligare information som de inte har tillgång till.
- Avsevärd inverkan av en incident (trösklar)
- tjänsten är otillgänglig under mer än 5 000 000 användartimmar
- incidenten medför en förlust av riktighet, integritet eller konfidentialitet som påverkar fler än 100 000 användare i unionen
- incidenten har gett upphov till en risk för allmän ordning, allmän säkerhet eller människoliv
- incidenten orsakar materiella skador för minst en användare i unionen och skadorna för denna användare uppgår till över EUR 1 000 000.
Lagen om tjänster inom elektronisk kommunikation omfattar en befogenhet för Transport- och kommunikationsverket att meddela närmare föreskrifter om innehållet i anmälningar samt om anmälningarnas utformning och hur de lämnas in. Än så länge har verket inte använt dessa befogenheter. Föreskriftens nödvändighet bedöms utgående från mottagna anmälningar.
Digital infrastruktur
Leverantörer av digital infrastruktur är leverantörer av internetknutpunkter (IXP, Internet Exchange Point), nanmnservrar (DNS, Domain Name Server) och toppdomäner (i Finland .fi och .ax).
I Finland omfattas tillhandahållande av knutpunkter och namnservrar av reglering av allmän televerksamhet när allmänna kommunikationsnät kopplas samman i knutpunkterna och när namntjänster tillhandahålls som en del av internetaccesstjänster. Leverantörer av dessa delar av digital infrastruktur är teleföretag som därför omfattas av reglering av televerksamhet.
Kraven på att sörja för informationssäkerheten och att anmäla störningar finns i lagen om tjänster inom elektronisk kommunikation samt i Traficoms kompletterande tekniska föreskrifter.
Följande myndigheter är ansvariga för de nationella toppdomänerna i Finland: för fi-domänen Transport- och kommunikationsverket och för ax-domänen Ålands landskapsregering. Bestämmelser om domännamn finns också i lagen om tjänster inom elektronisk kommunikation samt i lagstiftningen som gäller offentlighet i myndigheternas verksamhet och informationssäkerhet. På domännamnsverksamheten tillämpas en s.k. registry-registrarmodell. Skyldigheterna för registrarer att sörja för informationssäkerheten och att anmäla om störningar finns i lagen om tjänster inom elektronisk kommunikation och i Traficoms föreskrift om domännamn under toppdomänen fi och ax samt om förmedling av dem.