Förstasidan: Cybersäkerhetscentret
Förstasidan: Cybersäkerhetscentret
Meny

Lagen om tjänster inom elektronisk kommunikation innehåller skyldigheter som gäller kommunikationsnätens och -tjänsternas funktion, säkerställande, beredskap och hantering av störningar. Skyldigheter preciseras genom våra föreskrifter. Vi styr och övervakar att informationssäkerhetsskyldigheterna följs. Syftet med regleringen och övervakningen är att främja nätens och tjänsternas tekniska funktion, tillförlitlighet, informationssäkerhet och störningsfrihet.

Regleringen och Cybersäkerhetscentrets styrning och övervakning bidrar till att kommunikationsnäten och -tjänsterna är funktionssäkra och tillräckligt säkerställda. Ett annat syfte är att man kan upptäcka och avhjälpa störningar snabbt och att näten och tjänsterna börjar återhämta sig till normal drift efter störningar.

Som en helhet gäller kraven:

  • Funktion, dvs. systemens förmåga att fungera i enlighet med uppställda förväntningar och specifikationer.
  • Säkerställande, dvs. tekniska åtgärder med vilka man förebygger de effekter som fel i enskilda kommunikationsnät och -tjänster och delar av dem medför för funktionen av de nät och tjänster som tillhandahålls slutanvändare.
  • Beredskap, dvs. verksamhet som genom förberedelser och åtgärder i förväg säkerställer att uppgifterna kan skötas så störningsfritt som möjligt i alla förhållanden. Beredskap genomförs genom att bedöma riskerna för verksamhetens kontinuitet, och kontinuiteten planeras och genomförs på basis av denna bedömning.
  • Hantering av störningar, dvs. att förebygga och upptäcka situationer som stör kommunikationsnätens och -tjänsternas funktion och informationssäkerhet samt att minimera och undanröja deras konsekvenser och att återhämta sig från dessa situationer.

Kraven i författningarna

Enligt lag ska allmänna kommunikationsnät och kommunikationstjänster samt kommunikationsnät och kommunikationstjänster som ansluts till dem planeras, byggas och underhållas bland annat så att

  • den elektroniska kommunikationens tekniska standard är god,
  • de tål sådana normala klimatrelaterade, mekaniska, elektromagnetiska och andra yttre störningar som kan förväntas,
  • deras prestanda kan följas upp,
  • fel och störningar som avsevärt stör deras funktion kan upptäckas,
  • tillgången till nödtjänster är tryggad på ett så tillförlitligt sätt som möjligt också vid nätstörningar, och att
  • de fungerar så tillförlitligt som möjligt också under sådana undantagsförhållanden som avses i beredskapslagen och i störningssituationer under normala förhållanden.

De kvalitetskrav som gäller tjänstens funktion ska anpassas till antalet användare av kommunikationsnäten och kommunikationstjänsterna, till det geografiska område som de betjänar samt till deras betydelse för användarna.

I lagen sägs att om ett kommunikationsnät, en kommunikationstjänst eller en utrustning orsakar betydande olägenheter eller störningar för ett kommunikationsnät, en kommunikationstjänst, någon annan tjänst som anslutits till kommunikationsnätet, utrustning, eller för kommunikationsnätets användare eller någon annan person, ska teleföretaget eller en annan innehavare av kommunikationsnätet eller utrustningen omedelbart vidta åtgärder för att avhjälpa situationen och vid behov koppla bort kommunikationsnätet, kommunikationstjänsten eller utrustningen från det allmänna kommunikationsnätet.

Cybersäkerhetscentret vid Traficom har preciserat lagens krav med flera tekniska föreskrifter som gäller:

  • tekniskt genomförande och säkerställande av nödtrafik
  • tekniska egenskaper hos abonnentförbindelser med ledare av metall och nätverksutrustning som kopplats till dem
  • elektroniskt skydd av kommunikationsnät
  • säkerställande av kommunikationsnät och kommunikationstjänster samt synkronisering av kommunikationsnät
  • störningar i televerksamheten

FÖRESKRIFTER

Transport- och kommunikationsverket Traficoms föreskrifter som preciserar lagen är bindande för aktörer. Lagen och föreskrifterna gäller teleföretagen under normala förhållanden, i störningssituationer under normala förhållanden och under undantagsförhållanden.

REKOMMENDATIONER

Cybersäkerhetscentret har utöver förpliktande bestämmelser också utfärdat flera rekommendationer om kommunikationsnätens och -tjänsternas driftsäkerhet, säkerställande och beredskap samt hantering av störningar.

Störningshantering betyder observation, avhjälpande och inlärning

Trots de många kraven på säkerställande och beredskap drabbas alla kommunikationsnät och -tjänster ibland av fel.

I Traficoms preciserande föreskrift 66 om störningar i televerksamheten åläggs teleföretagen skyldigheter som bl.a. gäller upptäckt och hantering av störningar, i praktiken övervakning av nät och tjänster. Föreskriften förutsätter att

  • teleföretag oavbrutet övervakar funktionen i sina kommunikationsnät och -tjänster för att upptäcka och förebygga situationer som medför störningar eller hot om funktionen i dessa nät och tjänster
  • teleföretag har ändamålsenliga och dokumenterade system och förfaranden för att ta emot och analysera interna och externa anmälningar om störningar, mjukvarularm, larm från anläggningar, larm från utrustningsutrymmen och övriga uppgifter som fås vid övervakning av kommunikationsnätet eller -tjänsten
  • teleföretag har uppdaterad dokumentation om procedurerna för utredning av situationer som medför störning eller hot mot kommunikationsnätens och -tjänsternas funktion samt för att minimera och eliminera dem utan obefogat dröjsmål.

Störningsanmälningar stöder övervakningen och användarnas tillgång till information

Ett teleföretag ska göra en anmälan till Cybersäkerhetscentret om dess tjänster utsätts för eller hotas av betydande händelser som gör att en kommunikationstjänst inte fungerar eller väsentligen stör den. Teleföretagen ska också utan dröjsmål informera abonnenterna och användarna om betydande störningar i kommunikationsnätens eller -tjänsternas funktion. Cybersäkerhetscentret har preciserat lagens anmälningsförpliktelser genom föreskrift 66. Kraven främjar tillgången till information om störningar.

På basis av anmälningarna om funktionsstörningar och slutrapporter skapar Cybersäkerhetscentret en lägesbild av de inhemska kommunikationsnätens och -tjänsternas funktion. Centret förmedlar lägesinformation till statsförvaltningen och publicerar regelbundet statistik och översikter samt meddelanden om funktionsstörningar i enskilda fall på sina webbsidor.

Den lagstiftning som Cybersäkerhetscentret övervakar omfattar dock inte några uttryckliga skyldigheter i fråga om maxantalet funktionsstörningar eller störningens längd, och verket saknar behörighet att bestämma om sådant. Cybersäkerhetscentret kan därför inte förutsätta att teleföretagen åtgärdar en tjänst som drabbats av fel inom en viss tid. Centret övervakar att teleföretagen överhuvudtaget har tekniska medel och förmågan att upptäcka störningar och vidta korrigerande åtgärder.

Reglering av funktionssäkerhet ger balans mellan förväntningar och förutsättningar

För att trygga omfattande kommunikationstjänsters (t.ex. mobiltjänsters) funktion även vid störningar har det ansetts vara nödvändigt att uppställa krav på säkerställande och beredskap. Det är svårt speciellt för konsumenter att bedöma kommunikationstjänsternas funktionssäkerhet och därför baserar sig marknadsföringen av kommunikationstjänsterna och köpbesluten i huvudsak på tjänsternas pris. Konsumenterna har emellertid rätt att förutsätta att de kommunikationstjänster som de köper är av god teknisk kvalitet och att de fungerar. Eftersom konsumenterna inte har reella möjligheter att påverka funktionssäkerheten av de kommunikationstjänster de köper måste dessa regleras genom författningar.

Samtidigt är det dock att beakta att genomförandet av kraven på funktion, säkerställande och beredskap medför kostnader som i sista hand påverkar slutkundsprissättningen av kommunikationstjänster.

Vid specificering av kravnivåer vill man därför hitta en balans mellan dessa synvinklar. Vid uppställandet av de tekniska kraven bedömer man i praktiken olika faktorer och samråder med branschen. Kravnivån är i praktiken en helhetsbedömning av förväntningar, förutsättningar och konsekvenser. Cybersäkerhetscentret följer kontinuerligt upp den tekniska utvecklingen som gäller tryggandet av kommunikationsnätens och -tjänsternas funktion och bedömer behoven och förutsättningarna att ändra föreskrifter och rekommendationer.

Samarbete

Cybersäkerhetscentret främjar kommunikationsnätens och -tjänsternas störningsfrihet i samarbete med flera olika nationella och internationella aktörer.

Centret leder till exempel samarbetsgruppen för störningssituationer (HÄTY) vars uppgift är att ha beredskap för olika störningssituationer i samarbete med teleföretag, elbolag, entreprenörer och myndigheter.

Cybersäkerhetscentrets samarbete med sin nordiska systerorganisation sker inom ramen för Nordic NIS, m.a.o. gruppen för Nordic Network and Information Security. I praktiken gäller det att byta information om olika störningar och att ha beredskap för dem samt att samla in och dela lärdomar om att utveckla reglering och att ha tillsyn över att regleringen följs.

EUROPEISKT SAMARBETE

Motsvarande europeiskt samarbete sker i arbetsgruppen för telemyndigheter inom Europeiska byrån för nät- och informationssäkerhet ENISA. Arbetsgruppens syfte är att effektivera Europeiska unionens och dess medlemsstaters och företags färdigheter att förebygga och avvärja nät- och informationssäkerhetsproblem samt att ingripa i dem. En del av detta arbete är en årlig sammanfattande rapport som vi lämnar till ENSA om de anmälningar om funktionsstörningar som vi mottagit av teleföretagen. Dessutom har Cybersäkerhetscentret utsett en kontaktperson (NLO, National Liaiason Officer) mellan ENISA och Finland som också är Finlands suppleant i ENISAs ledningsgrupp (den ordinarie medlemmen kommer från kommunikationsministeriet).

Uppdaterad