Åtgärder för säkerhet i nät och tjänster

I 8 kap. 1 § lagen om elektronisk kommunikation (LEK) finns en bestämmelse om krav på att vidta tekniska och organisatoriska åtgärder för att upprätthålla säkerhet i nät och tjänster. Bestämmelsen gäller för alla som tillhandahåller elektroniska kommunikationsnät eller kommunikationstjänster.

• Åtgärder som vidtas ska vara proportionella och ändamålsenliga och på ett lämpligt sätt hantera risker som hotar säkerheten in nät och tjänster.
• Åtgärder ska vidtas särskilt för att förebygga säkerhetsincidenter och dess påverkan på användare och på andra nät och tjänster.

Grundläggande säkerhetsnivå för elektroniska kommunikationer

Syftet med bestämmelsen är att bidra till effektiva elektroniska kommunikationer samt skapa en grundläggande säkerhetsnivå för dessa. Begreppet säkerhet i nät och tjänster avser förmågan att upprätthålla avsedd funktion och skydd mot oönskad påverkan eller förändring i ett nät eller system. Det tar också sikte på skydd mot att uppgifter som har lagrats eller överförts oavsiktligt eller olagligt förstörs, förloras eller ändras. Även uthållighet vid extraordinära händelser i fredstid omfattas.

Tekniska och organisatoriska åtgärder

Tillhandahållare måste vidta både tekniska och organisatoriska åtgärder, det vill säga både teknik och organisation ska vara anpassade för att uppfylla kraven på säkerhet i nät och tjänster.

Tekniska åtgärder kan till exempel innefatta följande:

• Åtgärder till skydd mot oönskad påverkan på eller förändring av nät och tjänster.
• Obehörig insyn i och åtkomst till nät och tjänster.
• Skydd av personer, lokaler och utrustning av betydelse för informationssäkerheten.
• Kryptering kan vara en möjlig åtgärd för att förhindra obehörig insyn och åtkomst.

I organisatoriska åtgärder ingår bland annat följande:

• Säkerställa att endast auktoriserad personal har tillgång till uppgifter.
• Införa säkerhetspolicyer.
• Genomföra analyser av hot och risker.
• Upprätta åtgärdsplaner.
• Införa andra nödvändiga rutiner och genomföra uppföljningar av säkerhetsarbetet.

Skyldigheten att vidta säkerhetsåtgärder gäller den som tillhandahåller ett nät eller en tjänst. Det innebär att skyldigheten gäller den som etablerar, driver, kontrollerar eller tillgängliggör nätet eller tjänsten. Den gäller därmed oavsett om en aktör själv sköter underhållet av nätet eller tjänsten eller låter någon annan göra det.

Åtgärder på lämplig nivå i förhållande till riskerna

Att åtgärderna ska säkerställa en lämplig nivå på säkerheten i förhållande till riskerna innebär att de tekniska lösningar som är tillgängliga på marknaden vid en given tidpunkt ska beaktas. Avsikten är att framsteg i den tekniska utvecklingen ska avspeglas i de åtgärder tillhandahållaren vidtar.

I lämplighetsbedömningen ingår även att beakta kostnaderna för att genomföra olika åtgärder.

Att åtgärderna ska säkerställa en lämplig nivå på säkerheten i förhållande till riskerna innebär också att behovet av åtgärder kan förändras i takt med förändringar av riskerna. Exempelvis kan förändringar i omvärldsläget medföra en ökad sannolikhet för att ett visst hot realiseras, och ett ökat beroende av kommunikationstjänsterna kan innebära att konsekvenserna blir allvarligare om hotet skulle realiseras.

För att säkerställa en lämplig nivå på säkerheten behöver aktörerna regelbundet och vid behov se över riskbedömningarna och vilka säkerhetsåtgärder som ska vidtas. Åtgärder ska vidtas särskilt för att förebygga och minimera säkerhetsincidenters påverkan på användare och på andra nät och tjänster. Det innebär att arbetet med att förhindra bland annat störningar och avbrott som påverkar allmänhetens tillgång till fungerande elektroniska kommunikationer ska vara prioriterat. Olika nät och tjänster är ofta sammankopplade och integrerade med varandra.

Med påverkan på andra nät och tjänster avses att säkerhetsincidenter som inträffar i ett nät eller en tjänst påverkar säkerheten även i sådana nät och tjänster som har sammankopplats eller integrerats med det nät eller den tjänst där incidenten inträffar. I skyldigheten ingår att vidta lämpliga åtgärder som stöder upptäckt och analys av säkerhetsincidenter och åtgärder för att hantera en inträffad incident.

Åtgärder i PTS säkerhetsföreskrifter

Från den 1 augusti 2022 gäller PTS föreskrifter och allmänna råd om säkerhet i nät och tjänster. Föreskrifterna innehåller mer detaljerade bestämmelser och förtydligar vilka åtgärder som tillhandahållare ska vidta för att upprätthålla säkerhet i nät och tjänster.

Incidentrapportering

Här kan du läsa mer om när och hur en säkerhetsincident ska rapporteras till PTS.

Säkerhetsgranskning av verksamheten

PTS har möjlighet att säkerhetsgranska en verksamhet som omfattas av LEK. Syftet med en säkerhetsgranskning är att göra det möjligt att bedöma om en tillhandhållare uppfyller kraven på att vidta säkerhetsåtgärder. 

Så säger lagen om säkerhetsgranskning

Av 8 kap. 2 § lagen (2022:482) om elektronisk kommunikation framgår:

”Om det finns särskilda skäl, får tillsynsmyndigheten ålägga den som tillhandahåller ett allmänt elektroniskt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst att på egen bekostnad låta ett oberoende kvalificerat organ utföra en säkerhetsgranskning av hela eller delar av verksamheten och att redovisa resultatet av granskningen för myndigheten.”

Säkerhetsgranskning när det är motiverat

Det krävs särskilda skäl för att PTS ska kunna ålägga skyldigheten. Säkerhetsgranskningar ska bara ske när det är motiverat. En säkerhetsgranskning bör i första hand komma i fråga om PTS har tagit del av uppgifter eller bedrivit tillsyn och det har kommit fram att ytterligare granskning behövs för att fullständigt besvara nödvändiga frågor om verksamhetens säkerhet.

Vad som behöver säkerhetsgranskas

En säkerhetsgranskning behöver inte avse hela verksamheten utan kan exempelvis avgränsas till vissa delar av en verksamhet som är särskilt känsliga eller som behöver bli ytterligare granskade. Säkerhetsgranskningar kan till exempel komma i fråga för att testa säkerheten när det gäller internetaccess till viktigare kommunikationsnoder eller anläggningar eller åtgärder som har vidtagits för att komma till rätta med sårbarheter i kommunikationsprotokoll.

Kvalificerat företag kan genomföra säkerhetsgranskning

Ett oberoende kvalificerat organ kan exempelvis vara ett företag som genomför säkerhetsgranskningar. Organet ska vara oberoende i förhållande till PTS och den operatör vars verksamhet ska granskas. Att organet ska vara kvalificerat innebär att det ska besitta den sakkunskap som krävs för säkerhetsgranskningen.