Regler om säkerhet i nät och tjänster

Från den 3 juni 2022 gäller nya regler i lagen om elektronisk kommunikation. Från den 1 augusti 2022 gäller PTS föreskrifter och allmänna råd om säkerhet i nät och tjänster.

Bestämmelser i LEK

I 8 kapitlet i lagen om elektronisk kommunikation (LEK) finns bestämmelser om säkerhet i nät och tjänster. Bestämmelserna omfattar bland annat följande:

• Hantering av risker som hotar säkerheten i nät och tjänster.
• Åtgärder som operatörer måste vidta för att upprätthålla säkerhet i nät och tjänster.
• Rapportering av säkerhetsincidenter.
• Information till användare om skyddsåtgärder vid hot om en säkerhetsincident.

Reglerna har sitt ursprung framförallt i EU-direktivet om inrättande av en europeisk kodex för elektronisk kommunikation.

Rapportera säkerhetsincident

Här finns mer information om när och hur en säkerhetsincident ska rapporteras till PTS.

Bestämmelser i PTS föreskrifter

PTS nya föreskrifter och allmänna råd om säkerhet i nät och tjänster motsvarar i stora delar de tidigare föreskrifterna. Föreskrifterna innehåller bland annat bestämmelser om följande:

• Långsiktigt, kontinuerligt och systematiskt säkerhetsarbete.
• Riskanalyser och riskhantering.
• Krav på tekniska och organisatoriska säkerhetsåtgärder.
• Rapportering av säkerhetsincidenter.
• Skydd av uppgifter som lagras för brottsbekämpande ändamål.
• Planering för totalförsvarets behov av elektroniska kommunikationer.

Följande fem föreskrifter har upphävts i samband med de nya föreskrifternas ikraftträdande:

• Post- och telestyrelsens föreskrifter (PTSFS 1995:1) om fredstida planering för totalförsvarets behov av telekommunikation m.m.
• Post- och telestyrelsens föreskrifter och allmänna råd (PTSFS 2012:2) om rapportering av störningar eller avbrott av betydande omfattning.
• Post- och telestyrelsens föreskrifter och allmänna råd (PTSFS 2012:4) om skyddsåtgärder i samband med lagring och annan behandling av uppgifter för brottsbekämpande ändamål.
• Post- och telestyrelsens föreskrifter och allmänna råd (PTSFS 2014:1) om skyddsåtgärder för behandlade uppgifter.
• Post- och telestyrelsens föreskrifter (PTSFS 2015:2) om krav på driftsäkerhet.

Tillämpningsområde

Bestämmelserna om säkerhet i nät och tjänster gäller för tillhandahållare av allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. Sedan den 3 juni 2022 omfattar definitionen allmänt tillgängliga elektroniska kommunikationstjänster även nummeroberoende interpersonella kommunikationstjänster.

Ikraftträdande

Från den 3 juni 2022 gäller nya regler i lagen om elektronisk kommunikation.
Från den 1 augusti 2022 gäller PTS föreskrifter och allmänna råd om säkerhet i nät och tjänster.

Undantag

Det finns möjlighet för PTS att i enskilda fall bevilja undantag från vissa av kraven i föreskrifterna.

Händelsestyrd respektive planlagd tillsyn

PTS bedriver både händelsestyrd och planlagd tillsyn över tillhandahållares arbete med att skydda säkerheten i nät och tjänster. Likaså bedriver PTS tillsyn av skydd av uppgifter som behandlas i samband med tillhandahållarnas tjänster.

Händelsestyrd tillsyn kan till exempel initieras om en händelse inträffar som berör många abonnenter, pågår under en längre tid eller annars bedöms som principiellt viktig.

PTS kan besluta om sanktionsavgifter

Sanktionsavgifter kan aktualiseras för den som inte följer reglerna om säkerhet i nät och tjänster. Det framgår av 12 kap. i LEK. En sanktionsavgift åläggs i efterhand och avser en redan inträffad överträdelse. Sanktionsavgiften ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.