Gå direkt till innehållet
Förstasidan: Cybersäkerhetscentret
Förstasidan: Cybersäkerhetscentret
Gå till sökfunktionenSök
Svenska
Meny

Digitala tjänster och digital infrastruktur

I EU:s direktiv om säkerhet i nätverk och informationssystem (s.k. NIS-direktivet) föreskrivs om informationssäkerhetsskyldigheter och rapportering av störningar i flera olika sektorer. I Finland ingår skyldigheterna i dessa sektorers lagstiftning och övervakas av de relevanta tillsynsmyndigheterna. Vi har tillsyn över digitala tjänster och infrastruktur och vi samordnar det nationella och internationella samarbetet.

På denna sida

Digitala tjänster

Reglering av digitala tjänster enligt NIS-direktivet gäller

  • leverantörer av internetbaserade marknadsplatser
  • leverantörer av internetbaserade sökmotorer
  • leverantörer av molntjänster.

Informationssäkerhetsskyldigheter och störningsanmälningar för digitala tjänster

Allmänna bestämmelser om skyldigheter för leverantörer av digitala tjänster finns i lagen om tjänster inom elektronisk kommunikation. Tjänsteleverantören ska i praktiken sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som denne använder.

Leverantörer av digitala tjänster ska dessutom utan dröjsmål göra en anmälan till Cybersäkerhetscentret vid Traficom om dess tjänster utsätts för en betydande informationssäkerhetsrelaterad störning, alltså en incident.

Cybersäkerhetscentret välkomnar också frivilliga anmälningar om störningar i digitala tjänster, även om tjänsteleverantörens storlek eller den aktuella störningen inte överskrider de angivna trösklarna. Sådan information hjälper CERT-verksamheten vid Cybersäkerhetscentret att skapa en lägesbild och att producera information för att förebygga incidenter och att återhämta efter dem. Även lagstadgade störningsanmälningar hanteras i första hand vid CERT-verksamheten och som administrativt tillsynsärende endast vid behov.

Närmare bestämmelser om de skyldigheter som leverantörer av digitala tjänster ska beakta när de hanterar risker och incidenter som stör tjänstens funktion finns i kommissionens genomförandeförordning (EU) 2018/151 (s.k. DSP-förordningen) (Extern länk).

I förordningen preciseras följande faktorer som ska beaktas vid riskhanteringen:

  • Säkerhetsaspekter
    • säkerheten i system och anläggningar
    • hantering av informationssäkerhetshot och störningar
    • hantering av driftskontinuitet
    • övervakning, revision och testning
    • iakttagande av internationella standarder

I förordningen preciseras bedömning av störningens betydelse och trösklar för rapportering:

  • Parametrar när det fastställs om en incident har avsevärd inverkan
    • antalet påverkade användare
    • incidentens varaktighet
    • det geografiska område som påverkas av incidenten
    • funktioner som försämras av incidenten: tillgången, riktigheten, integriteten eller konfidentialiteten i fråga om data eller berörda tjänster
    • inverkan på ekonomisk och samhällelig verksamhet
    • leverantörer av digitala tjänster ska inte åläggas att samla in ytterligare information som de inte har tillgång till.
  • Avsevärd inverkan av en incident (trösklar)
    • tjänsten är otillgänglig under mer än 5 000 000 användartimmar
    • incidenten medför en förlust av riktighet, integritet eller konfidentialitet som påverkar fler än 100 000 användare i unionen
    • incidenten har gett upphov till en risk för allmän ordning, allmän säkerhet eller människoliv
    • incidenten orsakar materiella skador för minst en användare i unionen och skadorna för denna användare uppgår till över EUR 1 000 000.

Lagen om tjänster inom elektronisk kommunikation omfattar en befogenhet för Transport- och kommunikationsverket att meddela närmare föreskrifter om innehållet i anmälningar samt om anmälningarnas utformning och hur de lämnas in. Än så länge har verket inte använt dessa befogenheter. Föreskriftens nödvändighet bedöms utgående från mottagna anmälningar.

Vem övervakar vi?

Kraven på att sörja för informationssäkerheten och att anmäla störningar finns i lagen om tjänster inom elektronisk kommunikation samt i Traficoms kompletterande tekniska föreskrifter.

Bekanta dig med kraven på televerksamhetens informationssäkerhet

Följande myndigheter är ansvariga för de nationella toppdomänerna i Finland: för fi-domänen Transport- och kommunikationsverket och för ax-domänen Ålands landskapsregering. Bestämmelser om domännamn finns också i lagen om tjänster inom elektronisk kommunikation samt i lagstiftningen som gäller offentlighet i myndigheternas verksamhet och informationssäkerhet. På domännamnsverksamheten tillämpas en s.k. registry-registrarmodell. Skyldigheterna för registrarer att sörja för informationssäkerheten och att anmäla om störningar finns i lagen om tjänster inom elektronisk kommunikation och i Traficoms föreskrift om domännamn under toppdomänen fi och ax samt om förmedling av dem.

Bekanta dig med registrarverksamheten (Extern länk) (Extern länk)
Uppdaterad