I EU:s cybersäkerhetsdirektiv (s.k. NIS2-direktivet) föreskrivs om informationssäkerhetsskyldigheter och rapportering av störningar i flera olika sektorer i samhället. I Finland finns skyldigheterna enligt NIS2-direktivet främst i cybersäkerhetslagen. Vid Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom utövar vi tillsyn över de flesta av leverantörerna av digital infrastruktur, leverantörer av digitala tjänster, leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster samt forskningsorganisationer och offentliga förvaltningsentiteter.
NIS2-direktivet och tillsyn över det gäller i huvudsak endast medelstora och stora företag. Storleksklasserna anges i kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag. Storleksklasserna tillämpas inte på alla aktörer inom digital infrastruktur och inte på offentliga organ. För tillsyn över de olika sektorerna iakttas en decentraliserad modell där tillsyn över NIS2-direktivet utövas av sektorsmyndigheterna på respektive sektor.
Aktörer inom digital infrastruktur
Aktörer inom digital infrastruktur som Cybersäkerhetscentret har tillsyn över är administratörer av internetknutpunkter, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, tillhandahållare av betrodda tjänster, tillhandahållare av allmänna elektroniska kommunikationsnät och tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster.
För registreringsenheter för toppdomäner, tillhandahållare av betrodda tjänster, tillhandahållare av allmänt tillgängliga elektroniska kommunikationsnät och tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster ska man beakta att dessa aktörer omfattas av reglering och tillsyn oberoende av deras storlek.
Med internetknutpunkt (IXP) avses en nätfacilitet som möjliggör sammankoppling av mer än två oberoende nät (autonoma system), främst i syfte att underlätta utbytet av internettrafik, som tillhandahåller sammankoppling enbart för autonoma system och som varken kräver att den internettrafik som passerar mellan två deltagande autonoma system ska passera genom ett tredje autonomt system eller ändrar trafiken eller påverkar den på något annat sätt.
Med administratör av registreringsenheter för toppdomäner (TLD) avses en instans som beviljats rätt att förvalta en viss toppdomän och som i denna uppgift svarar för registreringen av domännamn under toppdomänen samt för den tekniska funktionen av den.
Tjänster som uppfyller definitionen av molntjänst är enligt stycke 33 i inledningsavsnittet i NIS2-direktivet tjänster som tillhandahåller en digital tjänst som möjliggör administration av beställtjänster och bred fjärråtkomst till en skalbar och elastisk pool av delbara och distribuerade dataresurser, även när sådana resurser är distribuerade på flera platser. Beräkningsresurser omfattar resurser såsom nätverk, servrar eller annan infrastruktur, operativsystem, programvara, lagring, applikationer och tjänster. Tjänstemodellerna för molntjänster omfattar bland annat infrastruktur som en tjänst (IaaS), plattform som en tjänst (PaaS), program som en tjänst (SaaS) och nätverk som en tjänst (NaaS). Distribueringsmodellerna för molntjänster bör omfatta privat moln, gemensamt moln, offentligt moln och hybridmoln. Molntjänste- och distribueringsmodellerna har samma innebörd som termerna tjänste- och distribueringsmodeller som definieras i standarden ISO/IEC 17788:2014.
Molnanvändarens kapacitet att ensidigt, självständigt tillhandahålla datorkapacitet, såsom servertid eller nätlagring, utan någon mänsklig medverkan från leverantören av molntjänster, kan beskrivas som beställtjänster (on-demand administration). Termen bred fjärråtkomst används för att beskriva att molnkapaciteten tillhandahålls över nätet och nås genom mekanismer som främjar användning av heterogena tunna eller tjocka klientplattformar, däribland mobiltelefoner, surfplattor, bärbara datorer och arbetsstationer.
Termen skalbar avser beräkningsresurser som leverantören av molntjänster fördelar på ett flexibelt sätt, oberoende av resursernas geografiska läge, för att hantera fluktuationer i efterfrågan. Termen elastisk pool används för att beskriva beräkningsresurser som tillhandahålls och utnyttjas beroende på efterfrågan för att tillgängliga resurser snabbt ska kunna utökas och minskas i takt med arbetsbördan. Termen delbar används för att beskriva beräkningsresurser som tillhandahålls flera användare som delar en gemensam åtkomst till tjänsten där behandlingen genomförs separat för varje användare, även om tjänsten tillhandahålls från samma elektroniska utrustning. Termen distribuerad används för att beskriva beräkningsresurser som finns på olika nätverksanslutna datorer eller enheter och som kommunicerar och samordnar sig sinsemellan genom meddelandepassning.
Med datacentraltjänst avses en tjänst som omfattar strukturer, eller grupper av strukturer, avsedda för centraliserad inkvartering, sammankoppling och drift av it- och nätutrustning som tillhandahåller datalagrings-, databehandlings- och datatransporttjänster samt alla anläggningar och infrastrukturer för kraftdistribution och miljökontroll. I enlighet med stycke 35 i inledningsavsnittet gäller definitionen av datacentraltjänst inte datacentraler som ägs och drivs av den berörda entiteten för egen räkning.
Med nätverk för leverans av innehåll (CDN) avses ett nätverk av geografiskt spridda servrar vars syfte är att säkerställa hög tillgänglighet för, tillgång till eller snabb leverans av digitalt innehåll och digitala tjänster till internetanvändare för innehålls- och tjänsteleverantörers räkning.
För registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster och leverantörer av nätverk för leverans av innehåll tillämpas en tillsynsmodell som baserar sig på det huvudsakliga etableringsstället.
Leverantörer av digitala tjänster
Leverantörer av digitala tjänster är leverantörer av marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster.
Marknadsplatser online är inte till exempel sedvanliga webbutiker där den entitet som är försäljare driver en webbutik för att tillhandahålla produkter eller tjänster i sitt eget produktsortiment. Definitionen av marknadsplats uppfylls endast av sådana plattformar som gör det möjligt att tillhandahålla flera försäljares/näringsidkares produkter och tjänster på plattformen så att konsumenten ingår ett distansavtal om köpet av varan/tjänsten med någon annan än den försäljare som tillhandahåller plattformen.
Med onlinebaserad sökmotor avses en onlinebaserad sökmotor enligt artikel 2.5 i Europaparlamentets och rådets förordning (EU) 2019/1150 om främjande av rättvisa villkor och transparens för företagsanvändare av onlinebaserade förmedlingstjänster.
Med plattformar för sociala nätverkstjänster avses en plattform med vilka slutanvändare kan vara i kontakt med varandra, dela innehåll, söka information och kommunicera med varandra med många olika slags terminalutrustning.
För leverantörer av digitala tjänster tillämpas en tillsynsmodell som baserar sig på det huvudsakliga etableringsstället.
Driftsentreprenad och leverantörer av hanterade säkerhetstjänster
Med driftsentreprenad avses enligt artikel 6.39 i NIS2-direktivet en entitet som tillhandahåller tjänster som rör installation, förvaltning, drift eller underhåll av IKT-produkter, IKT-nät, IKT-infrastruktur, IKT-tillämpningar eller andra nätverks- och informationssystem, via bistånd eller aktiv administration antingen i kundernas lokaler eller på distans.
Med driftsentreprenad (managed service provider) avses speciellt en entitet och verksamhet som gör det möjligt att lägga ut verksamhet i anslutning till kommunikationsnät och informationssystem på entreprenad från en annan aktör till en leverantör av hanterade tjänster. Det kan gälla en stor grupp av olika tjänster, men det väsentliga är att verksamheter läggs ut på entreprenad för att skötas av leverantör av hanterade tjänster. Denna kategori verkar inte omfatta till exempel utveckling och tillhandahållande av sådana applikationer och programvaror som tillhandahålls för att användas av en aktör som är kund och det är således inte fråga om att en tjänst eller verksamhet läggs ut på entreprenad till en leverantör av hanterade tjänster som svarar och genomför det för aktörens räkning.
Med leverantör av hanterade säkerhetstjänster avses enligt artikel 6.40 i NIS2-direktivet en leverantör av hanterade säkerhetstjänster som utför eller tillhandahåller stöd för verksamhet som rör hantering av cybersäkerhetsrisker. Tillhandahållandet av hanterade säkerhetstjänster kan därför betraktas som en särskild underkategori till tillhandahållandet av hanterade tjänster.
För leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster tillämpas en tillsynsmodell som baserar sig på det huvudsakliga etableringsstället.
Kommissionens genomförandeförordning om NIS2
Europeiska kommissionen har den 17 oktober 2024 utfärdat genomförandeförordningen 2024/2690 som preciserar kraven på åtgärder för hantering av cybersäkerhetsrisker samt tröskelgränserna för fastställandet av betydande incidenter.
Kommissionens genomförandeförordning gäller endast följande aktörer: leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, driftsentreprenad, leverantörer av hanterade säkerhetstjänster, leverantörer av marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster samt tillhandahållare av betrodda tjänster.
Tillsyn enligt det huvudsakliga etableringsstället
Enligt artikel 26.1b i NIS2-direktivet omfattas registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster av jurisdiktionen i den medlemsstat där de har sitt huvudsakliga etableringsställe i unionen.
Enligt artikel 26.2 anses en entitet ha sitt huvudsakliga etableringsställe i unionen i den medlemsstat där besluten om riskhanteringsåtgärder för cybersäkerhet i huvudsak fattas. Om en sådan medlemsstat inte kan fastställas eller om sådana beslut inte fattas i unionen ska det huvudsakliga etableringsstället anses vara beläget i den medlemsstat där cybersäkerhetsoperationer utförs. Om en sådan medlemsstat inte kan fastställas ska det huvudsakliga etableringsstället anses vara beläget i den medlemsstat där den berörda entiteten har det etableringsställe som har flest anställda i unionen.
Det är alltså fråga om tre olika kriterier för att fastställa det huvudsakliga etableringsstället som tillämpas i följande ordning i en situation där det främsta kriteriet inte kan tillämpas.
En medlemsstat där besluten om åtgärder för att hantera cybersäkerhetsrisker i huvudsak fattas.
En medlemsstat där cybersäkerhetsoperationer utförs.
En medlemsstat där aktören har flest anställda i unionen.
Jurisdiktion i den medlemsstat där aktören har sitt huvudsakliga etableringsställe i unionen avser att en aktör uteslutande ska övervakas av en behörig myndighet i medlemsstaten i fråga. Det betyder att aktören lämnar in alla incidentanmälningar för hela EU-området endast till tillsynsmyndigheten i det huvudsakliga etableringsstället oberoende av om den betydande incidenten endast gäller ett enskilt etableringsställe i en medlemsstat eller om den betydande incidenten påverkar i flera medlemsstater. Samtidigt har endast tillsynsmyndigheten i det huvudsakliga etableringsstället behörighet att bedöma huruvida aktörens åtgärder för hantering av cybersäkerhetsrisker är lagenliga för hela EU-området.
Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom utövar alltså tillsyn bara över sådana registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer avhanterade säkerhetstjänster, leverantörer av marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster som har sitt huvudkontor i Finland.
Kraven på att sörja för informationssäkerheten och att anmäla störningar finns i lagen om tjänster inom elektronisk kommunikation samt i Traficoms kompletterande tekniska föreskrifter.
Följande myndigheter är ansvariga för de nationella toppdomänerna i Finland: Transport- och kommunikationsverket för fi-domänen och Ålands landskapsregering för ax-domänen. Även dessa regleras i lagen om tjänster inom elektronisk kommunikation samt i lagstiftningen om offentlighet i myndigheternas verksamhet och informationssäkerhet. På domännamnsverksamheten tillämpas en s.k. registry-registrarmodell. Skyldigheterna för registrarer att sörja för informationssäkerheten och att anmäla om störningar finns i lagen om tjänster inom elektronisk kommunikation och i Traficoms föreskrift om domännamn under toppdomänen fi och ax samt om förmedling av dem.