PTS granskar WhatsApp på grund av misstanke om bristande incidentrapportering

WhatsApp Ireland Limited (WhatsApp) hade ett globalt avbrott i sin kommunikationstjänst den 25 oktober 2022. Avbrottet drabbade bland annat svenska användare. PTS bedömer att händelsen var en rapporteringspliktig säkerhetsincident. Efter att PTS kontaktat företaget med anledning av incidenten så inkom WhatsApp med vissa uppgifter, bland annat en beskrivning av händelseförloppet samt företagets bedömning av vad som är en rapporteringspliktig säkerhetsincident.

WhatsApp omfattas av lagens krav

WhatsApp tillhandahåller så kallade nummeroberoende interpersonella kommunikationstjänster och är en ny kategori av aktör som sedan juni 2022 omfattas av reglerna i lagen om elektronisk kommunikation.

Enligt lagen om elektronisk kommunikation och PTS föreskrifter ska WhatsApp och andra tillhandahållare av elektroniska kommunikationstjänster rapportera säkerhetsincidenter till PTS, om incidenten har haft en betydande påverkan på nät och tjänster eller på funktioner i samhället. En sådan säkerhetsincident kan vara en störning eller avbrott i en kommunikationstjänst enligt vissa tröskelvärden.

Viktigt att följa svenska regler

Incidenter ska rapporteras till PTS inom en viss tid och innehålla vissa uppgifter. Bland annat ska tillhandahållaren ange orsaken till incidenten samt vilka åtgärder som vidtagits för att avhjälpa incidenten och för att motverka att en liknande incident inträffar igen.

WhatsApp har inte lämnat uppgifterna i tid och inte heller samtliga uppgifter som krävs för en komplett rapportering av en säkerhetsincident.

-Det här är första gången som PTS inleder tillsyn gentemot den här typen av aktörer. Det är viktigt att tillhandahållare som verkar på den svenska marknaden känner till och följer de regler som finns i svensk lagstiftning, i det aktuella fallet lagen om elektronisk kommunikation och PTS föreskrifter om säkerhet i nät och tjänster, säger Patrik Bystedt, chef PTS avdelning för säker kommunikation.

PTS inleder nu en granskning av händelsen och WhatsApps bristande rapportering av säkerhetsincidenten till PTS.

Klicka här för att läsa underrättelsen.

Mer information
Petra Nilsson, PTS enhet för säkra kommunikationstjänster, 08-678 56 13
Johanna Eklund, chef PTS enhet för säkra kommunikationstjänster, 08-678 55 78
PTS presstjänst: 08-678 55 55

Rapportering av incidenter på området elektroniska kommunikationer

Tillhandahållare av allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster är skyldiga att rapportera incidenter till PTS som påverkar tillgängligheten, riktigheten, autenticiteten eller konfidentialiteten eller förmåga att upprätthålla någon av dessa säkerhetsaspekter. Detta kan aktualiseras vid exempelvis avbrott eller störningar i nät eller tjänster eller i samband med att uppgifter om abonnenterna som operatören behandlar avslöjas för obehöriga.

Rapporteringen ger PTS underlag att bedöma om operatörerna följer bestämmelserna om säkerhet i nät och tjänster och skydd av behandlade uppgifter, och, om det behövs, för att bedriva tillsyn. Det finns även andra syften med incidentrapportering. Informationen ger en överblick över vanliga säkerhetsproblem och kan ge underlag för att identifiera behov av nya regler samt informations- eller främjandeinsatser.

Om PTS tillsynsarbete inom säkerhet i nät och tjänster och skydd av behandlade uppgifter

Alla i Sverige ska kunna kommunicera i säkra kommunikationsnät och -tjänster. PTS är tillsynsmyndighet och har i uppgift att säkerställa att operatörerna följer reglerna om säkerhet i nät och tjänster och skydd av de uppgifter som behandlas i samband med att tjänsterna tillhandahålls. PTS genomför därför olika typer av tillsyn: dels planlagd, dels händelsestyrd i samband med inträffade händelser.