Förstasidan: Cybersäkerhetscentret
Förstasidan: Cybersäkerhetscentret
Meny

Vi på Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom styr och övervakar att de bestämmelser och föreskrifter som hör till vårt verksamhetsområde följs. Vi övervakar flera olika funktioner och på denna sida berättar vi om tolkningen av bestämmelserna samt om de verksamheter som omfattas av regleringen. Exempel är televerksamhet och övrig förmedling av kommunikation, digitala tjänster enligt NIS-direktivet, stark autentisering och betrodda elektroniska tjänster (eIDAS).

Det uppstår ofta tolkningsfrågor om huruvida ett företags eller en organisations tjänst eller en del av den är verksamhet som Cybersäkerhetscentret styr och övervakar. Tabellen nedan innehåller en förteckning över verksamhet som regleras och praktiska exempel om den. Längre ner på den här sidan beskrivs i mer detalj tolkningspraxis av olika föremål för reglering.

Det viktiga är att identifiera vilka roller som en viss aktör identifierats ha inom ramen för regleringen. Majoriteten av den reglering som behandlas på denna sida gäller endast en viss typ av verksamhet. En aktör kan dock ha flera reglerade roller. Verksamhet bedöms från fall till fall.

Nedan presenteras föremål för reglering och etablerad tolkningspraxis.

 

televerksamhet
(lagen om tjänster inom elektronisk kommunikation 917/2014)
  • Traditionella teleföretag, såsom leverantörer av telefon- och bredbandstjänster
  • Leverantörer av televisions- och radionät
  • Flera kommersiella eller icke-kommersiella leverantörer av kommunikationsnät och ‑tjänster som traditionellt inte alltid har uppfattats som teleföretag, till exempel flera OTT-tjänster (Over-The-Top), dvs. kommunikationstjänster på internetaccesstjänster och WLAN-nät som tillhandahålls en grupp av användare som inte har avgränsats på förhand
  • Leverantörer av digital infrastruktur enligt NIS-direktivet, dvs. leverantörer av knutpunkter och namnservrar och när namntjänster tillhandahålls som en del av internetaccesstjänster.
fastighetens inomhusnät
(lagen om tjänster inom elektronisk kommunikation)
husbolag och andra innehavare av interna kommunikationsnät i fastigheter
separat nätverksaktör
(244 a § 2 mom. i lagen om tjänster inom elektronisk kommunikation)

ägare eller innehavare till ett kritiskt separat nät

sammanslutningsabonnent
(lagen om tjänster inom elektronisk kommunikation)
teleföretagens organisationskunder som behandlar sina kunders eller organisations förmedlingsuppgifter
annan förmedling av kommunikation
(lagen om tjänster inom elektronisk kommunikation)

utöver teleföretag och sammanslutningsabonnenter

  • andra aktörer som förmedlar elektronisk kommunikation som tredje part i förhållande till kommunikationsparterna
kakor
(205 § i lagen om tjänster inom elektronisk kommunikation)

tjänsteleverantör som lagrar kakor eller andra uppgifter om användningen av elektroniska tjänster på användarens terminalutrustning eller använder dem

digital tjänst
(247 a § i lagen om tjänster inom elektronisk kommunikation)

leverantörer av digitala tjänster enligt NIS-direktivet:

  • internetbaserad marknadsplats
  • internetbaserad sökmotor
  • molntjänst
tillhörande tjänst eller tillhörande facilitet
(lagen om tjänster inom elektronisk kommunikation)

Leverantörer av tillhörande tjänster och tillhörande faciliteter i samband med kommunikationsnät eller kommunikationstjänster:

  • system för villkorad tillgång
  • elektronisk programguide (EPG)
  • nummeromvandling
  • tjänster för identifiering, lokalisering och lägesinformation eller andra sådana motsvarande tjänster i samband med kommunikationsnät eller kommunikationstjänster som gör det möjligt att tillhandahålla kommunikationsnät eller kommunikationstjänster eller som stöder tillhandahållande av tjänster via dem
  • byggnader, tillträde till byggnader, kablar, kabelkanaler, master och annan sådan motsvarande fysisk infrastruktur och faciliteter och komponenter i samband med kommunikationsnät eller kommunikationstjänster som gör det möjligt att tillhandahålla kommunikationsnät eller kommunikationstjänster eller som stöder tillhandahållande av tjänster via dem
stark autentisering
(lagen om stark autentisering och betrodda elektroniska tjänster)

registrerade

  • leverantörer av identifieringsverktyg för stark autentisering
  • leverantör av tjänster för identifieringsförmedling
betrodd tjänst 
(EU:s s.k. eIDAS-förordning (EU) 910/2014)

kvalificerade och icke kvalificerade tillhandahållare av betrodda tjänster enligt eIDAS-förordningen:

  • certifikat för, validering av eller bevarande av elektroniska underskrifter eller elektroniska stämplar
  • certifikat för autentisering av webbplatser
  • elektronisk tidsstämpling
  • elektronisk tjänst för rekommenderad leverans

FÖREMÅL SOM VI INTE ÖVERVAKAR

Cybersäkerhetscentret övervakar inte innehållet i eller marknadsföringen av kommunikation och inte heller tillhandahållande av myndighetsnät eller kommunikationstjänster för myndigheter.  Gruppen av användare av myndighetsnät och myndigheternas kommunikationstjänster har begränsats på förhand, vilket betyder att verksamheten inte är allmän televerksamhet. Myndighetsnäten och myndigheternas kommunikationstjänster kan kopplas till teleföretagens allmänna kommunikationsnät. Då ska de inte orsaka funktions- eller informationssäkerhetsstörningar i det allmänna kommunikationsnätet.

Televerksamhet och teleföretag

Cybersäkerhetscentret övervakar iakttagande av krav på televerksamhetens informationssäkerhet och störningsfrihet, beredskap för störningar under normala förhållanden och för undantagsförhållanden, biträdande av nöd- och polismyndigheter samt konfidentialitet av elektronisk kommunikation och förmedlingsuppgifter i televerksamhet.

Sammanslutningsabonnenter

Enligt lagen om tjänster inom elektronisk kommunikation avses med sammanslutningsabonnent ett företag eller en organisation som i sitt kommunikationsnät behandlar meddelanden från användare eller förmedlingsuppgifter eller lokaliseringsuppgifter.

En sammanslutningsabonnent kan vara till exempel en näringsidkare, ett andelslag, ett aktiebolag, en förening, en läroanstalt eller ett statligt ämbetsverk. En sammanslutningsabonnent kan vara till exempel ett företag som skaffar och tillhandahåller sina anställda telefon- och bredbandsabonnemang och gäster i sina lokaler en WLAN-förbindelse samt som behandlar förmedlingsuppgifter i sitt interna nät, dvs. information som kan kopplas till en juridisk eller fysisk person och som behandlas för att överföra meddelanden. Även arrangemang för gemensamma abonnemang som invånarna i ett husbolag har kan vara sammanslutningsabonnenter. En familj anses inte vara en sammanslutningsabonnent, även om familjen har ett internt kommunikationsnät (t.ex. WLAN-nät) som den använder bland annat för att surfa på nätet via ett gemensamt bredband.

I lagen om tjänster inom elektronisk kommunikation föreskrivs om sammanslutningsabonnenternas skyldigheter avseende sörjande för funktion, informationssäkerhet och skydd av konfidentiell kommunikation samt bland annat om rätten att behandla förmedlingsuppgifter. Cybersäkerhetscentret vid Traficom övervakar efterlevnaden av dessa författningar. Traficom har också med stöd av lagen behörigheter att utfärda vissa tekniska föreskrifter som preciserar lagen men tills vidare har verket inte använt dessa behörigheter gällande sammanslutningsabonnenter.

Kommunikationsförmedlare

Kommunikationsförmedlare är aktörer vars tjänster är baserade på förmedling av konfidentiell kommunikation t.ex. inom ramen för en viss elektronisk tjänst. Kommunikationsförmedlare regleras med tanke på att säkerställa konfidentiell elektronisk kommunikation.

Kommunikationsförmedlaren måste ofta hantera elektroniska meddelanden och förmedlingsuppgifter för att säkerställa att tjänsterna fungerar och att felsituationer ska kunna utredas. I lagen bestäms om alla kommunikationsförmedlares rätt att behandla kommunikation och de åläggs skyldigheten att sörja för informationssäkerheten i sina tjänster.

Kommunikationsförmedlare är

  • Teleföretag
  • Sammanslutningsabonnenter
  • Andra förmedlare av kommunikation som förmedlar elektronisk kommunikation för andra än personliga eller med sådana jämförbara sedvanliga privata ändamål.

Andra förmedlare av kommunikation är en grupp av aktörer som i lagen om tjänster inom elektronisk kommunikation omfattas av informationssäkerhets- och dataskyddsregleringen sedan början av 2015. Genom ändringen har regleringen av skyddet av konfidentialitet vid elektronisk kommunikation och säkerställandet av informationssäkerhet utsträckts till att gälla alla kommunikationsförmedlare, emedan de har en kritisk ställning med tanke på konfidentiell kommunikation. Gränsdragning mellan televerksamhet och annan förmedling av kommunikation som baserar sig på definitionerna i teledirektivet är inte alltid entydig.

Leverantörer av digitala tjänster och infrastruktur (NIS)

I EU:s direktiv om säkerhet i nätverks- och informationssystem (s.k. NIS-direktivet) föreskrivs om informationssäkerhetsskyldigheter för leverantörer av samhällsviktig kritisk infrastruktur och om rapportering av störningar i flera sektorer.

Cybersäkerhetscentret styr och övervakar de leverantörer av digitala tjänster och digital infrastruktur som avses i direktivet. I lagen om tjänster inom elektronisk kommunikation föreskrivs om dessa aktörers skyldigheter. För leverantörer av digitala tjänster utövar Cybersäkerhetscentret tillsyn över endast de aktörer som har sitt EU-huvudkontor i Finland. Om huvudkontoret för en leverantör av digitala tjänster som utövar verksamhet i Finland finns i en annan EU-medlemsstat än i Finland, är behörig tillsynsmyndighet myndighet för huvudkontoret i fråga.

Leverantörer av tillhörande tjänster och faciliteter

I lagen om tjänster inom elektronisk kommunikation definieras tillhörande tjänster och tillhörande faciliteter som har samband med kommunikationsnät eller kommunikationstjänster. Cybersäkerhetscentret övervakar efterlevnaden av författningar om informationssäkerhet, funktion och skydd vid konfidentiell kommunikation relaterade till tillhandahållande av dessa tjänster och faciliteter.

Med tillhörande tjänster avses system för villkorad tillgång, elektroniska programguider och nummeromvandling, tjänster för identifiering, lokalisering och lägesinformation samt andra sådana motsvarande tjänster i samband med kommunikationsnät eller kommunikationstjänster som gör det möjligt att tillhandahålla kommunikationsnät eller kommunikationstjänster eller som stöder tillhandahållande av tjänster via dem.

Med tillhörande faciliteter avses tillhörande tjänster samt byggnader, tillträde till byggnader, kablar, kabelkanaler, master och annan sådan motsvarande fysisk infrastruktur och faciliteter och komponenter i samband med kommunikationsnät eller kommunikationstjänster som gör det möjligt att tillhandahålla kommunikationsnät eller kommunikationstjänster eller som stöder tillhandahållande av tjänster via dem.

Än så länge finns det i praktiken ingen tolkningspraxis om tillhörande tjänster eller tillhörande faciliteter. Tolkningen styrs av de exempel som ingår i definitionerna. Definitionen av faciliteter kan vara av betydelse bl.a. vid reglering av teknisk kvalitet och informationssäkerhet för kommunikationsnät och -tjänster. Definitionerna beskriver också de faciliteter och tjänster som ensam inte anses vara televerksamhet.

Tjänster för stark autentisering

Leverantörer av tjänster för stark autentisering är tjänsteleverantörer som har gjort en anmälan om verksamheten i enlighet med lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) och som har godkänts i registret.

Med stark autentisering avses att identiteten verifieras elektroniskt. Stark autentisering ger konsumenterna ett tryggt sätt att bekräfta sin identitet i olika elektroniska tjänster. Leverantörer av elektroniska ärendehanteringstjänster kan för sin del identifiera sina kunder.

Det finns två slags leverantörer av tjänster för stark autentisering i Finland

  • En leverantör av identifieringsverktyg tillhandahåller identifieringsverktyg till användare (t.ex. bankkoder, mobilcertifikat, medborgarcertifikat i identitetskortet).
  • En tjänst för identifieringsförmedling säljer identifieringstjänster till tjänster för ärendehantering.
  • En och samma tjänsteleverantör kan tillhandahålla både verktyget och förmedlingstjänsten.
  • Registrerade tjänster för stark autentisering bildar ett förtroendenät för elektronisk identifiering.

Tillitsnivåerna för stark autentisering är väsentlig och hög.

Tjänster för stark autentisering är 

  • bankernas nätbankskoder
  • teleföretagens mobilcertifikat
  • medborgarcertifikat i identitetskort från Myndigheten för digitalisering och befolkningsdata utfärdat av polisen och vissa andra identifieringscertifikat i olika organisationskort
  • registrerade tjänster för identifieringsförmedling

Betrodda elektroniska tjänster (eIDAS)

Betrodda elektroniska tjänster är funktioner som kan användas för att genomföra tillförlitliga elektroniska ärendehanteringstjänster. Dessa regleras i EU:s eIDAS-förordning (EU) 910/2014.

Betrodda tjänster kan vara antingen kvalificerade (qualified) eller icke kvalificerade (non-qualified). Kvalificering ansöks i Finland från Cybersäkerhetscentret vid Transport- och kommunikationsverket. Kvalificerade betrodda tjänster finns i nationella förteckningar över betrodda tjänsteleverantörer (trusted list) som gäller i alla EU:s medlemsstater.

Icke-kvalificerade betrodda tjänster är tjänster som överensstämmer med definitioner i eIDAS-förordningen men deras leverantör har inte ansökt om kvalificering.

Följande tjänster kan vara kvalificerade betrodda tjänster (relevant artikel i eIDAS inom parentes):

  • certifikat för, validering av eller bevarande av elektroniska underskrifter (artikel 28, 33 och 34)
  • certifikat för, validering av eller bevarande av elektroniska stämplar (artikel 38 och 40)
  • elektroniska tidsstämplingar (artikel 42)
  • elektroniska tjänster för rekommenderade leveranser (artikel 44)
  • certifikat för autentisering av webbplatser (artikel 45)

Icke-kvalificerade betrodda tjänster är

  • ovan nämnda tjänster som inte har anmälts och tecknats i förteckningen över betrodda tjänsteleverantörer
  • vissa andra typer av tjänster, t.ex. tjänst för skapande av avancerade elektroniska signaturer eller avancerade elektroniska stämplar

Registrarer

Information om registrarverksamheten (inkl. informationssäkerhet i registrarverksamheten) och om Fi-domännamn finns på Traficoms webbsidor om domännamn.

Uppdaterad