Vi styr och övervakar de författningar om informationssäkerhet, störningsfrihet och skydd vid konfidentiell kommunikation som hör till vår befogenhet. Vi utarbetar föreskrifter, rekommendationer och utredningar över dessa ämnen samt registrerar och övervakar aktörerna. Vi främjar informationsutbyte mellan aktörerna. Verksamhetsprinciperna är samarbete, öppenhet, tillförlitlighet och opartiskhet.
Förutseende styrning och effektiv tillsyn
Ämbetsverket främjar förebyggande och omfattande styrning. På så sätt strävar vi efter att för vår del främja företagens verksamhetsmöjligheter. Den styrande verksamheten inbegriper:
- rådgivning till företag och till deras kunder
- nationellt och internationellt samarbete med intressentgrupper
- främjande av sam- och självreglering
- utarbetande av föreskrifter som preciserar skyldigheterna i lagar
- upprättande av anvisningar och rekommendationer
- utredningar, rapporter, publikationer
- uppföljning av branschutvecklingen
Syftet med att övervaka att lagstiftningen följs är att:
- identifiera problem i tid och förebygga dem
- reda ut frågor i samarbete med aktörerna med beaktande av uppgifternas konfidentialitet
- agera så att åtgärdernas verkningar är så effektiva och omfattande som möjligt
- agera flexibelt för att undvika onödiga rättstvister i domstolarna
- satsa på styrning och övervakning av grundläggande tjänster
- alltid vid behov utfärda ett skriftligt beslut som kan överklagas hos förvaltningsdomstolen
Tillsynssätten är:
- utredningar och tillsynsförfrågningar
- insamling av tillsynsstatistik
- mottagning och behandling av störningsanmälningar
- kontroll och registrering av överensstämmelse med krav
- tillsynsbeslut vid klagomål, tvistemål och övriga mål
- kontrollbesök
Uppgifter som man vid tillsyn fått om affärshemligheter samt uppgifter om skyddsarrangemang för data- och kommunikationssystem, till exempel placeringen av viktiga nätkomponenter och tekniska orsaker till störningar, är sekretessbelagda i enlighet med 24 § i offentlighetslagen.
Styrningen och tillsynen kan vara regelbunden eller fallspecifik och kan gälla en stor grupp av aktörer eller en enskild aktör. Åtgärder inleds på grund av ändringar i lagstiftningen, marknader och teknik, observationer som görs vid samarbete med intressentgrupper, behoven och eventuella konflikter hos de som står under tillsyn, klagomål samt övriga kundkontakter.
Styrningsverksamhet
Rådgivning i fråga om tillämpningen av lagstiftningen till företagen som står under tillsyn och till deras kunder
När tjänsteleverantörer som står under Cybersäkerhetscentrets tillsyn eller deras kunder tar kontakt eller ställer frågor strävar man efter att i första hand tillhandahålla rådgivning. Rådgivning tillhandahålls på webbsidorna och per e-post, brev och telefon. Rådgivningen gäller de frågor som enligt lagen hör till Cybersäkerhetscentrets tillsyn. I andra frågor ombeds frågeställaren att vända sig till respektive myndighet. Cybersäkerhetscentret samarbetar också med andra myndigheter för att lösa kundernas problem och tillgodose deras behov av råd.
Cybersäkerhetscentret ger också råd till kunderna som står under dess tillsyn om hur de iakttar och tillämpar bestämmelser och god praxis. Rådgivning ges både skriftligt och muntligt i arbetsgrupper, på seminarier och andra evenemang samt när enskilda personer tagit kontakt. Ämbetsverket konsulterar dock inte företag om olika alternativ angående verksamhet och genomförande.
Nationellt och internationellt samarbete
Cybersäkerhetscentret deltar aktivt i det nationella och internationella samarbetet inom kommunikationsbranschen. Ämbetsverket deltar också i den offentliga diskussionen och delger öppet och aktivt sina beslut och riktlinjer.
Nationellt samarbete bidrar till att man kan reagera på ändringar och få information. Genom detta samarbete kommer den nationella informationen och kompetensen till nytta i beredningen av olika ärenden. Samtidigt kan aktörerna påverka ärenden som gäller deras egen verksamhet. Genom att lyssna på intressentgrupperna kan man också ta hänsyn till de önskemål, intressen och synpunkter som branschaktörerna och användarna av tjänsterna har.
Cybersäkerhetscentret deltar i det nationella samarbetet genom att delta i diskussionen inom den egna branschen, seminarier och forum för myndighetssamarbete samt genom att vid behov tillsätta olika arbetsgrupper. En del av grupperna tillsätts för någon viss uppgift, andra är permanenta till sin natur. Arbetsgrupperna är till för att ge råd och samla sakkunniga; de är inte beslutsfattande organ. I arbetsgrupperna deltar enligt det ärende som behandlas representanter från teleföretag, teleindustrin, användargrupper och övriga samarbetsorganisationer.
När en ny arbetsgrupp tillsätts, informeras en stor grupp av intressenter om det. Det går att anmäla sig till arbetsgruppens arbete också senare under arbetets lopp.
Det nationella samarbetet omfattar också olika samprojekt där Cybersäkerhetscentret främjar utvecklingen av och förfaringssätten för branschen tillsammans med övriga branschaktörer.
Cybersäkerhetscentret deltar i det europeiska och internationella samarbetet. Nationellt samarbete utförs till exempel i olika officiella arbetsgrupper i anknytning till genomförande av EU-direktiv eller EU-förordningar eller i tillsynsmyndigheternas inofficiella grupper. Cybersäkerhetscentret utbyter också aktivt information med myndigheterna särskilt i Norden och Baltikum.
Sam- och självreglering
Att främja samreglering och självreglering är en del av det nationella samarbetet.
Sam- och självreglering kan antingen ersätta eller komplettera reglering som grundar sig på bestämmelser och myndighetskrav.
- Samreglering kombinerar i allmänhet lagstiftning och självreglering. Samreglering betyder att man försöker uppnå målet som lagstiftaren fastställt tillsammans med privata aktörer också genom aktörernas egna åtgärder. Vid målinriktad samreglering sätter myndigheten upp målen, men delegerar detaljerna kring genomförandet av regleringen till objekten som regleras.
- Med självreglering avses de förfaringssätt, regler, anvisningar eller frivilliga avtal som aktörerna inom den privata sektorn själva fastställer för att styra och organisera sin verksamhet. Effektiv självreglering inbegriper förutom regler också ett övervakningssystem med sanktioner och en konfliktlösningsmekanism.
Förutsättningar för samreglering
UTREDNING
Ämbetsverket har utrett de konkurrensrättsliga förutsättningarna för samreglering.
På basis av utredningen bedömer ämbetsverket att:
- Den mest ändamålsenliga och mest genomförbara modellen är målbaserad samreglering, där myndigheten ställer upp målen tillsammans med verksamhetsområdet
- Ämnet ska vara tillräckligt tekniskt och konkurrensmässigt neutralt
- Beredningsprocessen ska vara opartisk och öppen
- Tillsyn och sanktionering hör mera naturligt till myndigheter än till företag
- Indirekta tillsynssätt som passar för verksamhetsområdet kunde åtminstone vara att man offentligt förbinder sig till samreglering och beroende på ämnet att också offentliggöra åtgärderna
- Ansvaret för att man inte frångår kraven i konkurrenslagstiftningen ligger i sista hand hos organisationerna som deltar i samregleringen.
Utarbetande av föreskrifter som preciserar lagarna
Det är inte ändamålsenligt att i detalj reglera tekniska ärenden som ständigt förändras i lagen och därför har ämbetsverket fått vissa befogenheter att precisera lagen genom tekniska föreskrifter. Föreskrifterna utgör en del av lagstiftningen som förpliktar aktörerna och de riktar sig till en funktion eller aktörer på ett allmänt plan, inte till en eller flera namngivna aktörer.
Cybersäkerhetscentret bereder föreskrifterna inom det egna verksamhetsområdet. Föreskrifter utfärdas över sådant som man anser vara nödvändigt att sköta via lagstiftning för att säkerställa genomslagskraften. I praktiken bereds föreskrifterna i regel tillsammans med representanter för intressentgrupper i arbetsgrupper som centret har tillsatt.
MER INFORMATION
Utarbetande av anvisningar och rekommendationer
Cybersäkerhetscentret publicerar sådana anvisningar och rekommendationer som hör till dess verksamhetsområde, men som inte är juridiskt förpliktigande, t.ex. föreskrifter. I dem får aktörerna som övervakas av ämbetsverket, aktörernas kunder och övriga intressentgrupper information om god praxis.
Rekommendationerna och anvisningarna utarbetar Cybersäkerhetscentret själv eller tillsammans med aktörerna. Rekommendationerna och anvisningarna kan publiceras som egna separata handlingar eller så kan de inkluderas i andra handlingar. Rekommendationer som publiceras som separata handlingar är vanligen längre. Rekommendationer som inkluderas i andra handlingar är kortare och behandlar vanligen någon mindre helhet.
MER INFORMATION
Utredningar, rapporter och publikationer
Cybersäkerhetscentret utarbetar själv eller i samarbete med sina intressentgrupper sådana utredningar, rapporter och översikter som hör till verksamhetsområdet. Ibland kan dessa också beställas av andra aktörer.
I praktiken beskriver utredningar, rapporter och andra publikationer vanligen ett sakförhållande eller en synlig utveckling. Publikationerna kan också innehålla en preliminär utredning till grund för arbete med en föreskrift eller rekommendation.
Uppföljning av utvecklingen inom branschen
Cybersäkerhetscentret följer omfattande och på många plan upp såväl den tekniska utvecklingen som lagstiftningsutvecklingen inom det egna verksamhetsområdet, dvs. inom informationssäkerhet och funktionssäkerhet. Uppföljningen av branschutvecklingen skapar grunden för allt styrnings- och tillsynsarbete vid centret.
Tillsynsverksamhet
Utredningar och tillsynsförfrågningar
Cybersäkerhetscentret gör regelbundet eller enligt behov skriftliga förfrågningar till företagen och organisationerna som står under tillsyn, i vilka det utreds hur dessa uppfyller kraven i reglerna och föreskrifterna i sin egen verksamhet. Förfrågningarna är detaljerade, de avgränsas vanligen till något ämnesområde och riktas i allmänhet till vissa aktörsgrupper.
På basis av svaren kan centret ge företagen information om god praxis, ålägga teleföretagen en skyldighet att vidta korrigerande åtgärder, rikta tillsynen och rådgivningen, bedöma behovet av att ändra föreskrifter samt producera allmän offentlig information om nät och tjänster.
Insamling av tillsynsstatistik
I regelverket som Cybersäkerhetscentret övervakar, såsom i ämbetsverkets tekniska föreskrifter, åläggs aktörerna att samla in och framställa statistik. För till exempel teleföretag gäller skyldigheten att framställa statistik över reparationstiderna för funktionsstörningar. Ämbetsverket samlar regelbundet in denna statistik för att få en helhetsbild av nätens och tjänsternas status.
Störningsanmälningar
I lagen föreskrivs en skyldighet för många aktörer att meddela störningar, kränkningar eller hot mot informationssäkerheten till myndigheten.
Utöver de lagstadgade störningsanmälningarna tar Cybersäkerhetscentret också emot anmälningar om såväl kränkningar och hot mot informationssäkerheten som funktionsproblem av flera andra aktörer.
Utgående från anmälningarna skapar Cybersäkerhetscentret en lägesbild av funktionen och informationssäkerheten hos kommunikationsnäten och tjänsterna, de digitala tjänsterna och övriga tjänster som de övervakar. Från anmälningarna samlar man in information för att undvika att motsvarande situationer uppstår i framtiden och övervakar att de gällande författningarna iakttas.
Anmälningsskyldigheten gäller bland andra följande:
- Teleföretag eller leverantörer av sådana digitala tjänster som avses i NIS-direktivet ska anmäla till Traficom, i praktiken till Cybersäkerhetscentret vid Traficom, om de utsätts för betydande kränkningar av informationssäkerheten (så kallade störningar i informationssäkerheten).
- Teleföretagen är också skyldiga att anmäla andra händelser som hindrar eller väsentligt stör en kommunikationstjänsts funktion (så kallade funktionsstörningar).
- Dessutom ålägger lagen också teleföretagen att anmäla störningar i informationssäkerheten och funktionsstörningar åt sina abonnenter och användare.
- Leverantörer av starka autentiseringstjänster ska anmäla betydande störningar.
- Betrodda elektroniska tjänster (både kvalificerade och icke-kvalificerade eIDAS-tjänster) ska anmäla betydande störningar.
Kontroll och registrering av överensstämmelse med krav
Leverantörer av tjänster för stark autentisering och leverantörer av en kvalificerad betrodd tjänst enligt eIDAS-direktivet ska innan de inleder sin verksamhet göra en anmälan om verksamheten och redogöra för hur de uppfyller kraven.
Cybersäkerhetscentret kontrollerar att verksamheten uppfyller kraven och registrerar tjänsterna.
Övervakningsbeslut vid klagomål, tvistemål och övriga mål
Cybersäkerhetscentret vid Traficom fungerar i flera ärenden som besvärsmyndighet. Om problemet inte kan avgöras genom rådgivning eller förhandlingar, utreder ämbetsverket ärendet i förvaltningsförfarandet och meddelar ett beslut som kan överklagas.
Beslutet kan behövas till exempel om en aktör som omfattas av regleringen har försummat eller brutit mot bestämmelserna och inte rättar sitt förfarande eller om någon av parterna behöver ett beslut på grund av motstridiga intressen eller tolkningstvister.
Cybersäkerhetscentret kan göra en utredning av företagen och organisationerna som står under dess tillsyn på eget initiativ, på begäran av kommunikationsministeriet eller utgående från ett anfört besvär. Centret kan avgöra endast sådana ärenden för vilka ämbetsverket har en lagstadgad behörighet. I andra ärenden ber ämbetsverket kunden att ta kontakt med eller överför ärendet själv till den behöriga myndigheten.
Klagomål, tvistemål eller övriga mål avgörs i enlighet med förvaltningslagen genom att samråda med alla parter i huvudsak skriftligen. Muntliga utredningar och granskningar är också möjliga.
Ämbetsverket ger ett skriftligt motiverat beslut om huruvida verksamheten som utretts följer bestämmelserna, och vid behov ålägger den som gjort sig skyldig till överträdelsen att åtgärda saken. Beslutet kan förenas med vite, hot om avbrytande av verksamheten och hot om tvångsutförande.
En besvärsanvisning hänför sig till beslutet. I anvisningen finns information om hos vilken domstol beslutet kan överklagas. Ämbetsverkets beslut överklagas, beroende på ärendet, hos förvaltningsdomstolen, högsta förvaltningsdomstolen eller marknadsdomstolen. Traficoms beslut om teknisk funktion och informationssäkerhet får överklagas hos förvaltningsdomstolen. Beslutet ska iakttas även om det överklagas om inte förvaltningsdomstolen bestämmer något annat.
Cybersäkerhetscentret kan inte genom sitt beslut ålägga korrigering av den tekniska funktionen av en enskild kunds tjänst inom en viss tid. Genom beslutet kan avgöras endast om teleföretagets verksamhet sker i enlighet med bestämmelserna. I stället kan kunderna ha rätt till standardersättning eller gottgörelse på grund av ett avtalsbrott. Ersättningstvister avgörs av allmän domstol. Konsumentkunderna kan också vända sig till konsumenttvistenämnden.
Exempel på fall där Cybersäkerhetscentret kan fatta förpliktande beslut om att ändra verksamheten så att den uppfyller de föreskrivna kraven:
- upprätthållande och säkerställande av den tekniska funktionen och informationssäkerheten av teleföretagens kommunikationsnät och kommunikationstjänst
- grunderna för behandling av förmedlingsuppgifter och meddelanden
- ersättning för kostnader till teleföretaget om genomförandet av myndighetskrav i kommunikationsnäten (teleavlyssning och teleövervakning)
- uppfyllande av kraven på tillförlitlighet gällande en stark autentisering eller en kvalificerad betrodd tjänst och vid behov återkallande av registreringen
- fullgörande av skyldigheten att ingå avtal i förtroendenätet för leverantörer av tjänster för stark autentisering.
Inspektioner
Cybersäkerhetscentret kan göra inspektioner inriktade på den tekniska funktionssäkerheten, informationssäkerheten och den föreskrivna tillförlitligheten och på så sätt utreda ärendet noggrannare och ofta mer tillförlitligt än genom skriftliga utredningar. Avsikten med den tekniska inspektionen är att säkerställa att tjänsterna har tillhandahållits på ett sätt som följer det regelverk som centret övervakar. En inspektion kan vara en allmän inspektion och den kan fokusera på en begränsad helhet. Vid behov kan inspektionen utföras också för att utreda ett enskilt klagomål. Föremål för inspektionsverksamheten är både system som används för tjänsteproduktionen och system som stöder tjänsteproduktionen.
De som övervakas i inspektion kan få råd från ämbetsverket och ge respons om frågor som gäller tillämpning av bestämmelserna i praktiken. Om inspektionsrätt och dess förutsättningar bestäms alltid i lag och inspektion utförs för att övervaka lagenliga skyldigheter.
I praktiken avtalar man om inspektioner i förväg om detta inte äventyrar inspektionens syfte. Verket kan också begära att den som är föremål för inspektionen lämnar förhandsutredningar. Inspektionen kan gälla utrustningar, system, utrustningsutrymmen eller dokument. Inspektioner i anknytning till funktionssäkerhet och informationssäkerhet kan inte utföras i utrymmen som omfattas av hemfriden. Om inspektionsförfarandet föreskrivs på ett allmänt plan i förvaltningslagen.
Över inspektionen upprättas ett protokoll, en inspektionsberättelse eller ett annat dokument som den som inspektionen gäller får granska. På basis av utredningen från inspektionen kan Cybersäkerhetscentret vid behov ge beslut om olika korrigeringsskyldigheter, förbud eller andra ärenden.
Cybersäkerhetscentret vid Transport- och kommunikationsverket kan till exempel göra
- en teknisk inspektion eller en säkerhetsinspektion av ett teleföretags verksamhet och anordningsutrymmen
- en inspektion av leverantörer av tjänster för stark autentisering eller av leverantörer av betrodda tjänster samt av tjänsterna som dessa tillhandahåller
- en inspektion av bedömningsorganet som föreskrivs i lagen om stark autentisering och betrodda elektroniska tjänster
Cybersäkerhetscentret kan låta en oberoende expert som ämbetsverket har valt att utföra en säkerhetsinspektion som baserar sig på lagen om tjänster inom elektronisk kommunikation.