Användare ska informeras vid hot om en säkerhetsincident

Så säger lagen om elektronisk kommunikation

I 8 kap. 4 § lagen om elektronisk kommunikation (LEK) finns en bestämmelse om krav på information till användare om det finns ett konkret och betydande hot om att en säkerhetsincident ska inträffa.

Tillhandahållare måste informera de användare som kan påverkas av hotet om vilka skydds- eller motåtgärder dessa kan vidta. Om det är lämpligt ska tillhandahållaren även informera användaren om själva hotet.

Att hotet ska vara konkret och betydande innebär att det ska finnas ett konkret hot som kan drabba användare på ett ingående sätt, till exempel genom att användare kan drabbas av avbrott i tjänster eller att känsliga uppgifter om användare riskerar att spridas. Informationen ska ange vilka skydds- eller motåtgärder som användarna kan vidta.

Det kan till exempel röra sig om användning av kryptering, byte av lösenord eller uppgradering av programvara. Vid bedömningen av om det är lämpligt att informera om själva hotet bör det till exempel beaktas om spridning av uppgifter om vad en upptäckt säkerhetsbrist består i kan väntas förvärra hotet. Informationsskyldigheten befriar inte aktören från skyldigheten att vidta säkerhetsåtgärder som att avhjälpa hot och återställa en normal säkerhetsnivå.

Så säger PTS föreskrifter

PTS föreskrifter och allmänna råd och säkerhet i nät och tjänster gäller från den 1 augusti 2022. I föreskrifterna ger PTS ytterligare vägledning kring vilken skyndsamhet som gäller vid information till användare, hur informationen bör lämnas samt vad informationen bör innehålla.

Viss ytterligare vägledning kring informationsskyldigheten finns även i ENISA:s rapport CyberThreat Consumer Outreach. Rapporten är inget rättsligt bindande dokument utan en ögonblicksbild av ENISA:s tolkning och syn på när och på vilket sätt tillhandahållare bör informera användare.