Elektronisk kommunikation är grundläggande för att dagens samhälle ska fungera. Sverige är beroende av fungerande nät och tjänster i såväl normalläge som i kris, höjd beredskap och krig.
För att säkerställa en robust kommunikation i hela samhället, fördelas ansvaret på tre nivåer – operatörerna, användarna och staten.
Operatörernas ansvar för säkerhet i nät och tjänster
Som operatör är du skyldig att följa de grundläggande krav om driftsäkerhet, informationssäkerhet, säkerhetsskydd och nödkommunikation som regleras i lagen om elektronisk kommunikation (LEK).
Det är viktigt att du som är operatör bedriver ett systematiskt, långsiktigt och kontinuerligt säkerhetsarbete. Det innebär till exempel att du ska vidta åtgärder för att nät och tjänster inte ska drabbas av störningar och avbrott.
Som operatör har du också ansvar för att personuppgifter skyddas och behandlas på ett korrekt sätt.
Operatörer ska rapportera betydande säkerhetsincidenter
Om du som operatör har haft en säkerhetsincident som har haft en betydande påverkan på nät och tjänster så ska du rapportera det till oss på PTS.
Omständigheter som är viktiga vid bedömningen är exempelvis:
- Hur många användare som påverkats av incidenten.
- Hur länge säkerhetsincidenten har varat.
- Storleken på det drabbade geografiska området.
- I vilken utsträckning nätet eller tjänsten påverkas.
- I vilken utsträckning ekonomisk och samhällelig verksamhet påverkas.
Rapportera incidenten inom tre dagar
Du ska rapportera inom tre dagar från att säkerhetsincidenten upptäcktes. Rapporteringsskyldigheten gäller oavsett hur händelsen har inträffat eller vem som är ansvarig. Den gäller även för säkerhetsincidenter hos till exempel tredjeparts-leverantörer.
Rapporten ska innehålla uppgifter om till exempel
- när säkerhetsincidenten har inträffat
- hur den upptäckte
- vad som har skett
- omfattningen och konsekvenserna av incidenten samt
- vilka åtgärder som vidtagits för att minska konsekvenserna av incidenten och för att förhindra liknande incidenter i framtiden.
Du kan läsa mer om vilka säkerhetsincidenter som ska rapporteras och vad rapporten ska innehålla i PTS föreskrifter.
En incident kan ibland behöva rapporteras även enligt andra regelverk, exempelvis personuppgifts- eller säkerhetsskyddslagstiftningen.
Föreskrifter och allmänna råd om säkerhet i nät och tjänster
Informera allmänheten om säkerhetsincidenter
I vissa fall är du som operatör skyldig att informera allmänheten om säkerhetsincidenter. Vid bedömningen ska Sveriges säkerhet beaktas.
För dig som är operatör - stöd för robusthetshöjande åtgärder
PTS kan finansiera vissa åtgärder som stärker infrastrukturen för elektroniska kommunikationer, för att på så sätt minska risken för allvarliga händelser.
Vid särskilt höga krav på säkerhet – användare har ett eget ansvar
Om du som använder elektroniska kommunikationstjänster har särskilt höga krav på robusthet och säkerhet, så har du ett eget ansvar att tillgodose ditt behov. Det här gäller både privatpersoner och verksamheter.
Det kan exempelvis innebära att du behöver skaffa ett särskilt abonnemang med högre säkerhetskrav. Ett sjukhus behöver till exempel själva betala för att säkerställa skydd som lever upp till deras verksamhetsspecifika säkerhetskrav.
Staten ansvarar för hela samhällets säkerhet
Särskilda säkerhetskrav som omfattar hela samhället, och som de andra instanserna inte täcker, är statens ansvar. Här jobbar vi på PTS med att identifiera sårbarheter utifrån en bred samhällsnytta och genomför robusthetshöjande åtgärder i både normalläge, kris och höjd beredskap.