2.1.1  2.1.1 Allmänt

I Finland finns lagstiftningen om informationssäkerhet inte samlad i en enda lag, utan bestämmelserna är spridda på ett flertal författningar som gäller såväl den offentliga förvaltningen som tillhandahållandet av olika tjänster. Lagstiftningen om informationssäkerhet innehåller bestämmelser om hur uppgifter av en viss typ ska hanteras på ett informationssäkert sätt. Som exempel kan nämnas bestämmelserna om hantering av personuppgifter och säkerhetsskyddsklassificerade handlingar. Dessutom ingår bestämmelser om informationssäkerhet i lagstiftningen om såväl den offentliga förvaltningens som privata tjänsteleverantörers verksamhet med avseende på t.ex. riskhantering och kontinuitet. Vissa av skyldigheterna i fråga om informationssäkerhet gäller i regel endast den offentliga förvaltningen, medan vissa gäller t.ex. specifika privata tjänsteleverantörer.  

Skyldigheter som gäller hanteringen av informationssäkerhetsrisker ingår i de allmänna förvaltningslagarna (lagen om offentlighet i myndigheternas verksamhet (621/1999), personuppgiftslagen (523/1999), i den allmänna lagstiftningen om kvalitetskrav eller säkerhetsrelaterade skyldigheter för tjänsteleverantörer (t.ex. informationssamhällsbalkens (917/2014) bestämmelser om informationssäkerhet i kommunikationstjänster och kommunikationsnät och om trafiksäkerhetsrelaterade skyldigheter), i lagstiftningen om riskhantering i samband med affärsverksamhet (t.ex. om operativ riskhantering i kreditinstitut) och i lagstiftningen om beredskap för störningar (t.ex. vattentjänstverks beredskapsskyldighet). Skyldigheternas innehåll varierar från sektor till sektor. Förutom av lagstiftningen styrs främjandet av säkerheten i samhället, cybersäkerheten och informationssäkerheten av ett flertal strategier som kompletterar varandra. Åtgärder som syftar till att öka informationssäkerheten har samlats i informationssäkerhetsstrategin för Finland, som godkänts i enlighet med regeringens handlingsplan, och i strategin för cybersäkerhet, som godkänts som ett principbeslut av statsrådet. I säkerhetsstrategin för samhället definieras dessutom samhällets vitala funktioner. 

2.1.2  2.1.2 Strategierna för informationssäkerhet och cybersäkerhet i Finland

Informationssäkerhetsstrategin för Finland godkändes genom ett beslut av kommunikationsministeriet den 10 mars 2016. Prioriteringar i strategin är säkerställande av konkurrenskraften och exportvillkoren, utvecklingen av EU:s digitala inre marknad samt tryggande av integritetsskyddet och andra grundläggande fri- och rättigheter.  

Ramarna för strategiarbetet anges i handlingsplanen för statsminister Juha Sipiläs regeringsprogram och presenteras i strategins inledning. Visionen för strategin har tagits fram för att svara mot de mål och prioriteringar som bygger på dessa utgångspunkter.  

Förutom av regeringsprogrammet ha strategins innehåll påverkats av de krav på strategin som anges i direktivet om nät- och informationssäkerhet. Strategin behandlar i enlighet med direktivet om nät- och informationssäkerhet främjandet av den allmänna medvetenheten om informationssäkerhet och kompetensen på området samt betydelsen av forskning och utveckling. Vad gäller riskhantering och identifiering av risker är det centrala budskapet i strategin att aktörerna bör ha möjlighet att utvärdera sina informationssäkerhetsåtgärder på ett riskbaserat sätt, dvs. så att de ställs i relation till hanteringen av övriga risker i affärsverksamheten. Flera av åtgärderna i strategin gäller samarbetet mellan den offentliga och den privata sektorn när det gäller förebyggande, reaktiva och korrigerande åtgärder i samband med nät- och informationssäkerhet.  

Strategin är en förlängning av informationssäkerhetsstrategin från 2003 respektive 2008 och cybersäkerhetsstrategin från 2013. I enlighet med dess syfte ligger fokus i strategin särskilt på digital affärsverksamhet och på de strategiska krav som följer av direktivet om nät- och informationssäkerhet. 

I informationssäkerhetsstrategin anges också de viktigaste målen för genomförandet av direktivet om nät- och informationssäkerhet. Enligt strategin tryggas i samband med genomförandet av direktivet företagens möjligheter att samordna de nya skyldigheter som gäller hanteringen av informationssäkerhetsrisker till en del av hanteringen av övriga risker för affärsverksamheten.  

Strategin för cybersäkerheten i Finland utfärdades 2013 i form av ett principbeslut av statsrådet. Dess syfte är att skapa en gemensam förståelse för cybersäkerhet och stärka den övergripande säkerheten i samhället. I strategin skildras en vision, en handlingsmodell och strategiska riktlinjer för cybersäkerheten. I verkställighetsprogrammet 2017–2020 för strategin för cybersäkerhet som publicerades av Säkerhetskommittén den 20 april 2017 beskrivs åtgärderna för att genomföra strategin närmare. Som en del av programmet genomförs informationssäkerhetsstrategin, som godkänts av kommunikationsministeriet. Därmed kompletterar cybersäkerhetsstrategin och informationssäkerhetsstrategin varandra. 

2.1.3  2.1.3 Samhällsviktiga funktioner

I Finland har begreppen kritisk infrastruktur eller samhällsviktiga funktioner egentligen inte definierats på lagstiftningsnivå. Däremot definieras samhällets vitala funktioner i säkerhetsstrategin för samhället.  

Statsrådet godkände i oktober 2017 ett principbeslut om en säkerhetsstrategi för samhället. I strategin definieras samhällets vitala funktioner. Enligt strategin är vitala funktioner i det finländska samhället ledningen av staten, internationell och EU-verksamhet, Finlands försvarsförmåga, inre säkerhet, ekonomi, infrastruktur och försörjningsberedskap, befolkningens handlingsförmåga och service samt mental kristålighet. 

Enligt strategin ska informations- och kommunikationssystem, digitala tjänster och kunskaper som är nödvändiga för de vitala funktionerna säkras i de lokaler som används av den offentliga förvaltningen och offentliga samfund. En fungerande modell för hantering av informations- och cyberstörningssituationer beaktar de skyldigheter som följer av Europeiska unionens nät- och informationssäkerhetsbestämmelser. 

Den 5 december 2013 utfärdade statsrådet dessutom i enlighet med 2 § i lagen om tryggande av försörjningsberedskapen (1390/1992) ett beslut om målen med försörjningsberedskapen (SRb 857/2013). Enligt beslutet är centrala hot som äventyrar samhällets funktionsförmåga störningar i de elektroniska data- och kommunikationssystemen och näten, avbrott i energitillförseln, allvarliga störningar i befolkningens hälsa och funktionsförmåga samt natur- och miljökatastrofer. I beslutet är skyddet av kritisk infrastruktur indelat i följande områden: 

1) Systemen för produktion, överföring och distribution av energi 

2) System, nät och tjänster för information och kommunikation 

3) Tjänster inom finanssektorn 

4) Transporter och logistik 

5) Vattenförsörjning 

6) Byggande och underhåll av infrastrukturen, samt 

7) Avfallshanteringen i exceptionella situationer 

I beslutet konstateras dessutom att de mest kritiska och centrala samhällsfunktionerna som är beroende av informationsteknik ska identifieras och att de informationssystemlösningar och tjänster som har samband med dem ska tryggas genom arrangemang som tål olika slags allvarliga störningar och undantagsförhållanden. 

2.1.4  2.1.4 Kvalitetskrav och riskhanteringsrelaterade krav på leverantörer av tjänster samt rapportering av säkerhetsstörningar till myndigheterna

Såsom konstateras ovan är de samhällsviktiga tjänsterna alltmer beroende av tillförlitligt fungerande datanät och informationssystem. Digital information utnyttjas dessutom i ökande grad för att tillhandahålla tjänster. Inom många samhällsviktiga sektorer finns lagstadgade skyldigheter för leverantörer och användare av tjänster som syftar till att säkerställa verksamhetens kvalitet och säkerhet. Bakom de lagstadgade kvalitetskraven ligger ett värderingsbaserat behov av att hantera en verksamhets betydande samhällskonsekvenser. 

Nedan följer en närmare redogörelse för skyldigheterna avseende hantering av säkerhetsrisker enligt den gällande lagstiftningen inom de sektorer som omfattas av direktivet om nät- och informationssäkerhet. Till tillämpningsområdet för direktivet om nät- och informationssäkerhet hör enligt direktivets bilaga II följande sektorer: digital infrastruktur, transporter, energi, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård samt leverans och distribution av dricksvatten. I bilaga II har en del av sektorerna ytterligare delats in i delsektorer. I bilaga II räknas dessutom upp olika typer av enheter inom alla sektorer. 

Digital infrastruktur 

För sektorn digital infrastruktur anges i bilaga II till direktivet om nät- och informationssäkerhet inga delsektorer, men som typer av enhet nämns internetknutpunkter (Internet exchange point, IXP), leverantörer av DNS-tjänster samt registreringsenheter för toppdomäner. I Finland ingår regleringen om digital infrastruktur huvudsakligen i informationssamhällsbalken. I den föreskrivs om tillhandahållande av elektroniska kommunikationstjänster och informationssamhällets tjänster. I 29 kap. i informationssamhällsbalken föreskrivs om kvalitetskrav på kommunikationsnät och kommunikationstjänster. Enligt lagens 243 § ska allmänna kommunikationsnät och kommunikationstjänster samt kommunikationsnät och kommunikationstjänster som ansluts till dem planeras, byggas och underhållas så att den elektroniska kommunikationens tekniska standard är god och informationssäker. Med informationssäkerhet avses i informationssamhällsbalken administrativa och tekniska åtgärder genom vilka det säkerställs att information är tillgänglig endast för dem som har rätt att använda den, att informationen inte kan ändras av andra än dem som har rätt till detta samt att informationen och informationssystemen kan utnyttjas av dem som har rätt att använda informationen och systemen. Det föreskrivs också att kommunikationsnät och kommunikationstjänster ska tåla sådana normala hot mot informationssäkerheten som kan förväntas, att deras kvalitet och funktionssäkerhet ska gå att följa upp, att mot dem riktade betydande kränkningar av och hot mot informationssäkerheten ska gå att upptäcka liksom också sådana fel och störningar som avsevärt stör deras funktion samt att ingens dataskydd, informationssäkerhet eller andra rättigheter får äventyras. 

Enligt 246 § i informationssamhällsbalken får abonnenter och användare inte till ett allmänt kommunikationsnät ansluta annan radio- och teleterminalutrustning än sådan som är funktionsduglig och som stämmer överens med kraven enligt den lagen. Dessutom ska abonnenterna administrera utrustning och system som ansluts till ett allmänt kommunikationsnät i enlighet med teleföretagets anvisningar så att de inte äventyrar informationssäkerheten i det allmänna kommunikationsnätet och i de allmänna kommunikationstjänsterna. 

I X avd. i informationssamhällsbalken föreskrivs om tryggande av kommunikationens och tjänsternas kontinuitet och i dess 33 kap. om hantering av informationssäkerhet och störningar samt anmälan om störningar. I kapitlet föreskrivs om de åtgärder som teleföretag, sammanslutningsabonnenter och leverantörer av mervärdestjänster samt aktörer som handlar för dessas räkning har rätt att vidta i syfte att sörja för informationssäkerheten, om skyldigheten för teleföretag eller andra innehavare av kommunikationsnät eller utrustning att avhjälpa störningar och om skyldigheten för teleföretag och leverantörer av mervärdestjänster att meddela användarna och myndigheterna om störningar. 

Enligt 275 § i informationssamhällsbalken ska ett teleföretag utan dröjsmål göra en anmälan till Kommunikationsverket om dess tjänster utsätts för eller hotas av betydande kränkningar av informationssäkerheten eller av någonting annat som gör att en kommunikationstjänst inte fungerar eller väsentligen stör den. Teleföretaget ska också utan obefogat dröjsmål anmäla hur länge störningen eller hotet beräknas pågå, om vilka verkningar störningen eller hotet har, om avhjälpande åtgärder samt om åtgärder för att förhindra att störningen upprepas. 

I informationssamhällsbalken avses med teleföretag en aktör som tillhandahåller nättjänster eller kommunikationstjänster för en grupp av användare som inte har avgränsats på förhand, dvs. bedriver allmän televerksamhet. Regleringen av televerksamhet är teknikneutral och verksamheten kan utövas mot vederlag eller utan vederlag. Med allmän televerksamhet avses tillhandahållande av kommunikationstjänster till en grupp av användare som inte har avgränsats på förhand.  

Internetknutpunkter erbjuder som minst en teknisk punkt (point of presence) för utbyte av trafik mellan kommunikationsnät som identifierats med ett AS-nummer. Tillhandahållare av internetknutpunkter kan också erbjuda tjänster för avtal om sammankoppling.  

Enligt Kommunikationsverkets tolkning är internetknutpunkter sådan allmän televerksamhet som avses i informationssamhällsbalken, åtminstone i den mån de används för att koppla samman allmänna kommunikationsnät. Internetknutpunkter kan användas även av andra teleföretag än de som tillhandahåller allmänna kommunikationsnät, oftast t.ex. innehavare av nätverk för innehållsdistribution (content delivery network, CDN).  

Tillhandahållande av DNS-tjänster (Domain Name System, DNS) är enligt den gällande regleringen allmän televerksamhet eller annan verksamhet beroende på om den hänför sig till internetaccesstjänster eller inte. När verksamheten är en del av tillhandahållandet av internetaccesstjänster omfattas den av bestämmelserna och föreskrifterna om allmän televerksamhet. DNS-tjänster tillhandahålls också på andra sätt än som en del av en internetaccesstjänst, t.ex. av registrarer och andra nättjänsteleverantörer. En DNS-tjänst skaffas vanligen inte separat utan som en del av en övrig tjänst. 

Bestämmelser om domännamnsregistren för toppdomänerna fi och ax, vilka hör till Finlands lagstiftningsbehörighet, finns i informationssamhällsbalken. Kommunikationsverket förvaltar ett register över domännamn under toppdomänen fi och en databas med teknisk information om domännamn för styrning av internettrafiken (fi-roten). Ålands landskapsregering ansvarar för ax-roten. 

I 21 kap. i informationssamhällsbalken finns bestämmelser om domännamn. I lagens 171 § föreskrivs om organisering av domännamnsförvaltningen. Enligt paragrafen har Kommunikationsverket till uppgift att sörja för informationssäkerheten i den domännamnsverksamhet som avser fi-domäner. Enligt lagens 172 § har Kommunikationsverket dessutom rätt att vidta nödvändiga åtgärder för att upptäcka, förhindra och utreda sådana betydande kränkningar av informationssäkerheten som innebär att fi-domännamn utnyttjas och som är riktade mot allmänna kommunikationsnät eller kommunikationstjänster eller mot användare av dem, samt för att inleda förundersökning med anledning av kränkningarna. Myndigheternas verksamhet när det gäller förvaltningen av domännamnsregistret och roten omfattas av informationssäkerhetskraven i såväl informationssamhällsbalken som i lagen om offentlighet i myndigheternas verksamhet (621/1999) och i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010, nedan informationssäkerhetsförordningen) som utfärdats med stöd av den lagen. 

Energi 

Sektorn energi är i bilaga II till direktivet om nät- och informationssäkerhet uppdelad i delsektorerna elektricitet, olja och gas. För dessa delsektorer ingår riskhanteringsrelaterade skyldigheter åtminstone i elmarknadslagen (588/2013) och naturgasmarknadslagen (587/2017), och för delsektorn olja även i lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor (2005/390). Även i kärnenergilagen (990/1987) finns bestämmelser om riskhantering, men kärnenergi hör inte till tillämpningsområdet för direktivet om nät- och informationssäkerhet.  

Elektricitet 

Stamnätet för eldistribution ska planeras, byggas och upprätthållas så att nätet uppfyller de krav som ställs i Europeiska unionens lagstiftning på nätens driftsäkerhet och tillförlitlighet och de krav i fråga om nätets driftsäkerhet och tillförlitlighet som i elnätstillståndet ställs på den systemansvariga stamnätsinnehavaren. 

Enligt elmarknadslagen omfattas elföretag, distributionsnätsinnehavare och överföringsnätsinnehavare av skyldigheten att utveckla nätet (19 §) och att upprätta en beredskapsplan (28 §), och nätinnehavare av skyldigheten att samarbeta vid störningar (29 §). Elföretag och distributionsnätsinnehavare omfattas dessutom av kvalitetskraven i fråga om distributionsnätets funktion (50–52 §).  

Enligt 28 § i elmarknadslagen ska nätinnehavaren genom ändamålsenlig planering förbereda sig för störningar i elnätet under normala förhållanden och sådana undantagsförhållanden som avses i beredskapslagen (1552/2011). Nätinnehavaren ska göra upp en beredskapsplan och i behövlig omfattning delta i beredskapsplanering som ska trygga försörjningsberedskapen.  

Enligt 59 § i elmarknadslagen ska distributionsnätsinnehavaren informera distributionsnätsanvändarna om eldistributionen i distributionsnätet avbryts i betydande omfattning. Samtidigt ska användarna ges en uppskattning av felets eller avbrottets varaktighet och omfattning.  

Naturgas 

I naturgasmarknadslagen ingår endast några skyldigheter som gäller hantering av säkerhetsrisker. Den reviderade naturgasmarknadslagen träder i kraft i början av 2018. I lagens 4 kap. finns bestämmelser om nätinnehavarens allmänna skyldigheter. Lagens 27 § innehåller bestämmelser om nätinnehavarens beredskapsplanering. Enligt lagen ska nätinnehavaren genom ändamålsenlig planering förbereda sig för störningar i naturgasnätet under normala förhållanden, för genomförande av ransoneringsåtgärder som föranleds av störningar i tillgången på naturgas i naturgassystemet och för sådana undantagsförhållanden som avses i beredskapslagen. Nätinnehavaren ska göra upp en beredskapsplan och i behövlig omfattning delta i beredskapsplanering som ska trygga försörjningsberedskapen..  

Olja 

I lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor och i statsrådets förordning om övervakning av hanteringen och upplagringen av farliga kemikalier (685/2015) som utfärdats med stöd av lagen föreskrivs bl.a. om säkerhetskraven vid hantering av farliga kemikalier och explosiva varor, förebyggande av olyckor och om anmälan av olyckor och tillbud till myndigheterna. 

Transporter 

För sektorn transporter anges i bilaga II till direktivet om nät- och informationssäkerhet fyra delsektorer: lufttransport, järnvägstransport, sjöfart och vägtransport. Den nationella lagstiftningen om hantering av säkerhetsrisker i fråga om transporter bygger ofta på antingen internationella konventioner eller harmoniserad lagstiftning på EU-nivå. Lagstiftningen om transporter är ofta spridd på olika lagar för varje transportslag och regleringen kan bestå av kombinationer av olika internationella konventioner, EU-reglering och nationell reglering. 

Lufttransport 

Luftfart är internationell verksamhet och regleringen om civil luftfart grundar sig således på gemensamma regler som överenskommits inom ramen för Internationella civila luftfartsorganisationen (ICAO), Europeiska unionens lagstiftning, Europeiska byrån för luftfartssäkerhet (EASA), Europeiska organisationen för luftfartssäkerhet (Eurocontrol) och Europeiska civila luftfartskonferensen (ECAC). Det finns inte mycket nationellt handlingsutrymme när det gäller regleringen av civil luftfart och lufttransporter. 

De grundläggande utgångspunkterna i internationella luftfartsavtal har varit säkerhet, effektivitet och lönsamhet. I artikel 37 i konventionen angående internationell luftfart (Chicagokonventionen, FördrS 11/1949) anges som ICAO:s uppgift att godkänna och vid behov ändra internationella standarder, rekommenderade metoder och förfaranden för luftfartens säkerhet, regelbundenhet och effektivitet.  

Under de senaste åren har en allt större del av luftfartslagstiftningen i Europeiska unionen utfärdats på förordningsnivå i stället för som direktiv. Därmed har man kunnat säkerställa att lagstiftningen tillämpas så enhetligt som möjligt i Europeiska unionens medlemsstater.  

Bestämmelser om de allmänna förutsättningarna för flygverksamhet finns i Europaparlamentets och rådets förordning (EG) nr 216/2008 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av en europeisk byrå för luftfartssäkerhet, nedan EASA-förordningen, närmare bestämt i artikel 8, bilagorna IV (grundläggande krav på drift av luftfartyg som avses i artikel 8), V a (grundläggande krav för flygplatser) och V b (flygledningstjänster och flygtrafiktjänster samt grundläggande krav för flygledare), och i de genomförandeförordningar som utfärdats med stöd av förordningen. Kommissionen har lagt fram ett förslag till ändring av EASA-förordningen (COM(2015) 613 FINAL). Förslaget behandlas för närvarande inom unionen. 

Kraven i EU-lagstiftningen och deras tillämpningsföreskrifter garanterar att medlemsstaterna fullgör de förpliktelser som följer av Chicagokonventionen. I EASA-förordningen, dess bilagor och de tillämpningsföreskrifter som utfärdats med stöd av förordningen föreskrivs om relativt omfattande skyldigheter i fråga om hanteringen av säkerhetsrisker för operatörer, flygplatser, flygledningstjänster, flygtrafiktjänster och flygledningen. 

I Europaparlamentets och rådets förordning (EU) nr 376/2014 om rapportering, analys och uppföljning av händelser inom civil luftfart, nedan händelseförordningen, föreskrivs om rapportering av händelser som påverkar säkerheten inom luftfarten till den behöriga myndigheten. 

I förordningens artikel 4 föreskrivs om rapporteringsskyldigheten om händelser som kan utgöra en betydande risk för flygsäkerheten. Det är obligatoriskt att rapportera händelser som t.ex. rör driften av ett luftfartyg, tekniska förhållanden, underhåll och reparation av ett luftfartyg, flygtrafiktjänster och tillhörande anordningar samt flygplatser och marktjänster. 

På nationell nivå kompletteras regleringen av luftfarten av luftfartslagen (864/2014). I luftfartslagen ingår emellertid endast ett fåtal säkerhetsrelaterade krav t.ex. i fråga om upprätthållande av luftvärdighet (33 och 34 §), intyg över godkännande av trafikflygplats (83 §), tillhandahållande av marktjänster (93 §) och beredskap för undantagsförhållanden och störningar (160 §).  

Enligt 118 § i luftfartslagen ska Trafiksäkerhetsverket underrättas om olyckor och allvarliga tillbud inom civil luftfart. Enligt 125 § 1 mom. tillämpas EU:s händelseförordning på alla luftfartyg i Finland. Enligt 2 mom. i samma paragraf ska händelser som inbegriper ett luftfartyg som är registrerat i Finland eller som används av en organisation som är etablerad i Finland i enlighet med händelseförordningen rapporteras även om de har inträffat utomlands. Trafiksäkerhetsverket ansvarar för och driver ett rapporteringssystem enligt händelseförordningen till vilket obligatorisk och frivillig information om händelser rapporteras (126 §).  

Trafiksäkerhetsverket har utfärdat en luftfartsanvisning (GEN TI-4) med närmare förfaranden och anvisningar för rapportering, analys och uppföljning av luftfartsolyckor, allvarliga tillbud och händelser inom luftfart. 

Järnvägstransport 

Allmänna bestämmelser om järnvägssäkerhet för myndigheter och aktörer har utfärdats på EU-nivå. I författningarna anges krav som gäller bl.a. säkerhetsstyrningssystemet, anmälningsskyldigheten och tillsynen. De viktigaste författningarna på EU-nivå är Europaparlamentets och rådets direktiv (EU) 2016/798 om järnvägssäkerhet, kommissionens förordning (EU) nr 1078/2012 om en gemensam säkerhetsmetod för övervakning som ska tillämpas av järnvägsföretag och infrastrukturförvaltare efter erhållande av säkerhetsintyg eller säkerhetstillstånd, samt av enheter som ansvarar för underhåll samt kommissionens förordning (EU) nr 1077/2012 om en gemensam säkerhetsmetod för nationella säkerhetsmyndigheters tillsyn efter utfärdande av ett säkerhetsintyg eller säkerhetstillstånd. Nationella bestämmelser om järnvägssäkerhet finns i järnvägslagen (304/2011), en förordning av statsrådet och Trafiksäkerhetsverkets föreskrifter. 

I 6 kap. i järnvägslagen föreskrivs om järnvägssystemets säkerhet. Enligt lagens 39 § ska järnvägssystemets säkerhetsnivå upprätthållas och utvecklas enligt de möjligheter som Europeiska unionens lagstiftning samt den tekniska och vetenskapliga utvecklingen inom branschen ger. Enligt paragrafen ansvarar bannätsförvaltarna och järnvägsoperatörerna för en trygg användning av järnvägssystemet och för hantering av de risker som användningen medför. Enligt lagens 40 § ska järnvägsoperatörerna och bannätsförvaltarna ha säkerhetsstyrningssystem som överensstämmer med bestämmelserna och föreskrifterna om järnvägssäkerhet. Enligt 75 § kan Trafiksäkerhetsverket i syfte att säkerställa järnvägssystemets säkerhet och tekniska funktion utfärda närmare föreskrifter om bl.a. säkerhetsstyrningssystem och beredskap för olyckor och olyckstillbud. Trafiksäkerhetsverket har utfärdat en föreskrift om järnvägsoperatörernas och bannätsförvaltarnas säkerhetsstyrningssystem.  

Enligt 79 § i järnvägslagen ska järnvägsoperatörer och bannätsförvaltare ha tillräcklig beredskap för faror och olyckor som hotar järnvägarna. Vidare ska innehavare av säkerhetsintyg eller säkerhetstillstånd enligt 81 § förbereda sig för undantagsförhållanden och se till att verksamheten fortgår så störningsfritt som möjligt också under sådana undantagsförhållanden som avses i beredskapslagen och vid därmed jämförbara störningar under normala förhållanden. 

I 81 a § föreskrivs om åtgärder som bannätsförvaltare ska vidta vid störningar inom järnvägssystemet på grund av tekniska missöden eller olyckor för att återställa situationen till det normala. 

Enligt 82 § i järnvägslagen ska järnvägsoperatörer och bannätsförvaltare underrätta Trafiksäkerhetsverket om olyckor och olyckstillbud som de fått kännedom om. Enligt lagen är dessa uppgifter sekretessbelagda. 

Närmare bestämmelser om anmälningsskyldigheten finns i statsrådets förordning om järnvägssystemets säkerhet och driftskompatibilitet (372/2011).  

Sjöfart 

Den internationella regleringen av sjöfarten bygger på Internationella sjöfartsorganisationens (IMO) konventioner. De viktigaste internationella konventionerna är 1974 års internationella konvention om säkerheten för människoliv till sjöss (SOLAS-konventionen, International Convention for the Safety of Life at Sea [FördrS 11/1981]), som gäller sjösäkerhet, och protokollet av år 1978 till 1973 års internationella konvention till förhindrande av förorening från fartyg (MARPOL-konventionen, International Convention for the Prevention of Pollution from Ships), som gäller miljöskydd. 

Skyldigheter som gäller bolagens (rederiernas) riskhantering finns i den internationella säkerhetsorganisationskoden (International Safety Management Code, ISM-koden) som grundar sig på SOLAS-konventionen. Inom EU har koden genomförts genom Europaparlamentets och rådets förordning (EG) nr 336/2006 om genomförande av Internationella säkerhetsorganisationskoden i gemenskapen. Även systemet för rapportering av händelser ingår i kraven i ISM-koden. Rapportering av avvikande händelser är motiverad eftersom man kan minska risken för allvarliga olyckor genom att analysera olyckstillbud och mindre olyckor samt genom att vidta föregripande korrigeringsåtgärder. 

Bestämmelser om skyldigheten att rapportera olyckor inom kommersiell sjöfart till Trafiksäkerhetsverket finns i sjölagen (674/1994). Enligt lagen ska en anmälan om sjöolycka göras i de fall som avses i 18 kap. 6 och 8 § i sjölagen. I 15 § i samma kapitel föreskrivs om rapportering om olyckor och tillbud. Enligt 20 § i lagen om tillsyn över fartygssäkerheten (370/1995) ska anmälan om brott mot en bestämmelse eller föreskrift som gäller fartygssäkerheten om möjligt göras skriftligen till tillsynsmyndigheten. 

Sjötrafikinformationstjänster 

I lagen om fartygstrafikservice (623/2005) föreskrivs om vissa sjöfartsrelaterade trafikledningsuppgifter, för vilka Trafikverket enligt lagen är ansvarig myndighet (VTS-myndighet) (2 § 1 och 4 punkten). Enligt lagens 19 § ska VTS-myndigheten föra en drifthandbok i vilken anges de uppgifter och åtgärder som anknyter till upprätthållandet av VTS-centralens verksamhet och tekniska system samt beredskapen för upprätthållandet av fartygstrafikservicen i undantagssituationer. I drifthandboken ska det, i fråga om skyldigheterna enligt lotsningslagen, anges förfaringssätt, meddelandepraxis och former för samarbetet med Trafiksäkerhetsverket. 

I 20 a § föreskrivs om systemet för hantering av information inom sjöfarten och de krav som ställs på det. När det gäller systemet för hantering av information meddelar Trafikverket enligt paragrafen närmare föreskrifter om anmälningsförfarande, struktur, datainnehåll och åtkomsträttigheter, om utlämnande av uppgifter till myndigheter och om utbytet av information med andra medlemsstater och med Europeiska unionens system för hantering av information inom sjöfarten (centralsystemet SafeSeaNet). 

VTS-myndigheten är skyldig att till vederbörande sjöfarts-, sjöräddnings-, miljö-, territorialövervaknings-, polis- eller tullmyndighet samt vederbörande hamninnehavare rapportera om alla sådana väsentliga omständigheter som har samband med ett visst fartygs eller de på fartyget ombordvarandes säkerhet, sjöräddningen, miljöskyddet eller territorialövervakningen eller tullkontrollen och som myndigheten har observerat eller som har anmälts till myndigheten (18 §). Vidare ska befälhavaren på finskt vattenområde underrätta VTS-myndigheten om varje kritiskt läge eller olycka som påverkar fartygets säkerhet eller äventyrar sjösäkerheten samt om varje situation som kan leda till förorening av farvatten eller stränder och om alla till sjöss kringdrivande föroreningsbälten, containrar och förpackningar (23 §). 

Hamnar 

Säkerhetsskyldigheter som gäller hamnar finns i ISPS-koden (International Ship and Port Facility Security Code) som syftar till att öka säkerheten ombord på fartyg och i hamnar. Koden har utarbetats av Internationella sjöfartsorganisationen IMO. ISPS-koden återfinns också som bilaga till den internationella SOLAS-konventionen (kapitel XI-2 ”Special measures to enhance maritime security”) och den har genomförts i EU genom Europaparlamentets och rådets förordning (EG) nr 715/2004 om förbättrat sjöfartsskydd på fartyg och i hamnanläggningar, nedan förordningen om sjöfartsskydd. Nationella bestämmelser om skyddsåtgärder som ska iakttas i hamnar finns i lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet. Behörig myndighet enligt lagen är Trafiksäkerhetsverket, vars uppgift är att övervaka efterlevnaden av förordningen om sjöfartsskydd och bestämmelserna i den lagen. Gränsbevakningsväsendet, polisen och tullverket har till uppgift att informera Trafiksäkerhetsverket om brister som de observerat i efterlevnaden av förordningen om sjöfartsskydd och bestämmelserna i den lagen. Trafiksäkerhetsverket ska utan dröjsmål vidta åtgärder för att rätta till bristerna. I lagen föreskrivs också om särskilda uppgifter för Trafiksäkerhetsverket, gränsbevakningsväsendet, polisen och tullverket (4–7 §).  

Vägtransport 

Reglerna för vägtrafikanter, dvs. trafikreglerna, ingår i vägtrafiklagen (267/1981).  

Olika aktörer ansvarar för funktioner med anknytning till styrningen av vägtrafiken. Enligt landsvägslagen är Trafikverket och närings-, trafik- och miljöcentralerna väghållningsmyndigheter. De kan bl.a. tillfälligt förbjuda eller begränsa trafiken (35 §) och bevilja tillstånd för placering av olika slags anläggningar, anordningar och kablar på vägområdet (42 och 42 a §). Enligt vägtrafiklagen har Trafikverket också befogenheter att bl.a. sätta upp trafikanordningar och reglera trafiken i plankorsningar mellan väg och järnväg samt att tillfälligt stänga av en väg i enlighet med 49 § i vägtrafikförordningen. Kommunerna har också uppgifter i anslutning till trafikledning. Exempelvis ska kommunen enligt 51 § i vägtrafiklagen uppsätta trafikanordningar på gator, byggnadsplanevägar, torg och andra trafikområden av motsvarande slag. 

Intelligenta trafiksystem i vägtrafiken 

Automatstyrda fordon utgör en del av det intelligenta trafiksystemet. I intelligenta trafiksystem använder de automatstyrda fordonen sådan information som de själva producerar när de färdas i trafiken. Informationen om miljön insamlas med hjälp av sensorer, radaranordningar och kameror. Därutöver använder fordonen sig av den omfattande information som via nätet förmedlas till dem om den övriga trafikmiljön, övriga fordon i trafiken, vägmiljön och trafikanordningarna samt om kommersiella tjänster. 

Målet för Europaparlamentets och rådets direktiv 2010/40/EU om ett ramverk för införande av intelligenta transportsystem på vägtransportområdet och för gränssnitt mot andra transportslag (nedan ITS-direktivet) är att påskynda ett samordnat införande och användning av intelligenta transportsystem i vägtrafiken överallt i Europa. ITS-direktivet ska tillämpas på alla intelligenta transportsystem inom vägtransportområdet samt på vägtransporternas gränssnitt mot andra transportslag. I ITS-direktivet betonas den europeiska arkitekturen för intelligenta transporter, genom vilken man kan främja även multimodalt biljettutställande, det vill säga biljettutställande som kopplar ihop olika transportslag. ITS-direktivet innehåller en bestämmelse med stöd av vilken Europeiska kommissionen har getts befogenhet att anta delegerade akter i fråga om sådana tekniska specifikationer som behövs för att kompatibiliteten ska kunna garanteras liksom interoperabiliteten och kontinuiteten vad gäller införande och operativ användning av ITS inom hela unionen. ITS-direktivet är till sin karaktär en ramlag, vars innehåll grundar sig på de delegerade akter som utfärdats med stöd av artiklarna 6 och 7. Dessa är kommissionens förordningar, varför de är direkt tillämplig rätt och endast i begränsad utsträckning kräver nationell reglering.  

I Finland har ITS-direktivet införlivats i lagen om transportservice (320/2017). Bestämmelser om införande av intelligenta transportsystem finns i III avd. 2 kap. 6 § i lagen. I 2 mom. anges Trafiksäkerhetsverket som den behöriga myndighet som har i uppgift att bedöma överensstämmelse med kraven. Av kommissionens förordningar som utfärdats med stöd av ITS-direktivet förutsätts för närvarande att en aktör som bedömer överensstämmelsen med kraven utses i artikel 4 i förordning nr 305/2013 avseende harmoniserat tillhandahållande av interoperabelt EU-omfattande eCall respektive artikel 9 i förordning nr 886/2013 vad gäller data och förfaranden för kostnadsfritt tillhandahållande, när så är möjligt, av ett minimum av vägsäkerhetsrelaterad universell trafikinformation för användare.  

Kommissionens delegerade förordning (EU) nr 886/2013 om komplettering av Europaparlamentets och rådets direktiv 2010/40/EU vad gäller data och förfaranden för kostnadsfritt tillhandahållande, när så är möjligt, av ett minimum av vägsäkerhetsrelaterad universell trafikinformation för användare ska tillämpas på tillhandahållande av ett minimum av vägsäkerhetsrelaterade universella trafikinformationstjänster på det transeuropeiska vägnätet. Med ett minimum av vägsäkerhetsrelaterad universell trafikinformationstjänst avses en trafikinformationstjänst med ett överenskommet minsta vägsäkerhetsrelaterat innehåll som kan nås med minimal ansträngning av ett maximalt antal slutanvändare. 

Bankverksamhet och finansmarknadsinfrastruktur 

I bilaga II till direktivet om nät- och informationssäkerhet delas bankverksamhet och finansmarknadsinfrastruktur inte in i delsektorer. Som typer av enheter inom bankverksamhet anges kreditinstitut och inom finansmarknadsinfrastruktur operatörer av handelsplatser och centrala motparter enligt definitionen i unionens direktiv 2014/65/EU. 

Regleringen och tillsynen av banksektorn och sektorn för finansmarknadsinfrastrukturer har i hög grad harmoniserats på unionsnivå. Detta kommer till uttryck vid tillämpningen av unionens primärrätt och sekundärrätt och standarder som utvecklats tillsammans med de europeiska tillsynsmyndigheterna. Inom bankunionen säkerställs tillämpningen och tillsynen av dessa krav genom den gemensamma tillsynsmekanismen. Inom tillsynspraxis på andra områden inom regleringen av finanssektorn säkerställer Europeiska systemet för finansiell tillsyn också en hög grad av enhetlighet och konvergens. Inom banksektorn är det viktigaste målet med riskhanteringen att trygga en tillräcklig kapitalbas i förhållande till risktagandet och riskhanteringssystemen. Riskerna för verksamheten kan delas in i exempelvis kreditrisker, operativa risker, marknadsrisker och likviditetsförvaltning.  

Operativ risk utgör en viktig del av reglering och tillsyn inom banksektorn och sektorn för finansmarknadsinfrastrukturer. Med operativa risker avses t.ex. risker som beror på otillräckliga eller misslyckade interna processer eller på personal, system eller externa faktorer. Hantering av operativa risker omfattar all verksamhet, inbegripet nätverks- och informationssystems säkerhet, integritet och motståndskraft.  

Kreditinstitut 

I 5 kap. 10 och 11 § i kreditinstitutslagen (610/2014) föreskrivs om utläggning på entreprenad av verksamhet som är viktig för kreditinstitut och om förutsättningarna för utläggning. Bestämmelser om skyldigheten att vidta förberedelser finns i 16 §. De allmänna kraven avseende riskhanteringssystem anges i 9 kap. 2 § i kreditinstitutslagen. Kraven avseende hanteringen av operativa risker anges i kapitlets 16 §, enligt vilken kreditinstitutet ska ha adekvata, trygga och funktionssäkra betalningsdatasystem, värdepappersdatasystem och andra datasystem. I paragrafen föreskrivs dessutom om beredskapsplanering.  

Enligt lagens 24 § får Finansinspektionen meddela närmare föreskrifter om operativa risker som avses i 16 §. Finansinspektionen har utfärdat föreskrifter om hantering av operativa risker i företag under tillsyn inom finanssektorn (Föreskrifter och anvisningar 8/2014) och om utläggning (Föreskrifter och anvisningar 1/2012). I kapitel 6 i föreskriften om hantering av operativa risker i företag under tillsyn inom finanssektorn finns bestämmelser om informationssäkerheten i informationssystem.  

Enligt 18 § 2 mom. i lagen om Finansinspektionen får Finansinspektionen meddela föreskrifter om vilka uppgifter om tillsynsobjekts ekonomiska ställning, ägare, interna kontroll och riskhantering, förvaltnings- och kontrollorgan, tjänstemän och verksamhetsställen som regelbundet ska lämnas till Finansinspektionen.I Finansinspektionens föreskrift om hanteringen av operativa risker bestäms närmare om rapportering av störningar i informationssystemen till Finansinspektionen.  

Reglerade marknader, multilaterala handelsplattformar, organiserade handelsplattformar samt börser 

När det gäller bedrivande av börsverksamhet finns bestämmelser om riskhanteringskrav och rapportering av störningar i 3 kap. i den föreslagna lagen om handel med finansiella instrument som ingår i regeringens proposition (RP 151/2017 rd) av den 26 oktober 2017.. I lagens 1 § finns bestämmelser om krav som gäller organisering av verksamheten på en reglerad marknad. Enligt lagen ska börsen säkerställa att dess system och förfaranden också i störningssituationer tryggar tillförlitligheten och kontinuiteten i handelssystemet. Börsen ska kunna säkerställa att dess handelssystem är motståndskraftiga, har tillräcklig kapacitet för att hantera toppbelastning i fråga om order- och meddelandevolymer och kan säkerställa ordnad handel under svåra förhållanden på marknaden. Börsen ska regelbundet testa handelssystemets funktion med belastningstest för att uppfylla de krav som beskrivs ovan. Enligt 2 § ska börsen utan obefogat dröjsmål underrätta Finansinspektionen om systemavbrott som rör ett finansiellt instrument.  

Hälso- och sjukvårdssektorn 

För hälso- och sjukvårdssektorn anges i bilaga II till direktivet om nät- och informationssäkerhet delsektorn hälso- och sjukvårdsmiljöer (inklusive sjukhus och privata kliniker). I Finland tillämpas hälso- och sjukvårdslagen (1326/2010) på tillhandahållandet av den hälso- och sjukvård som kommunerna enligt folkhälsolagen (66/1972) och lagen om specialiserad sjukvård (1062/1989) är skyldiga att ordna och på innehållet i denna hälso- och sjukvård. I lagens 8 § föreskrivs om kvalitetskrav på verksamheten inom hälso- och sjukvården och om patientsäkerhet. Enligt lagen ska verksamheten inom hälso- och sjukvården vara högkvalitativ och säker och bedrivas på behörigt sätt. Därtill ska verksamhetsenheterna inom hälso- och sjukvården göra upp en plan för kvalitetsledningen och för hur patientsäkerheten tillgodoses. Genom förordning av social- och hälsovårdsministeriet föreskrivs det närmare om de frågor som det ska överenskommas om i planen. 

Syftet med lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) är att främja datasäker elektronisk behandling av klientuppgifter inom social- och hälsovården. Genom lagen genomförs ett enhetligt elektroniskt behandlings- och arkiveringssystem för patientuppgifter för effektiv produktion av hälso- och sjukvårdstjänster så att patientsäkerheten beaktas samt för främjande av patientens möjligheter att få information. Lagen tillämpas när tillhandahållare av offentliga och privata social- och hälsovårdstjänster ordnar eller genomför social- eller hälsovård.  

I lagens 5 a kap. föreskrivs om väsentliga krav på informationssystem som används för behandling av klient- och patientuppgifter inom social- eller hälsovården. I 5 b kap. föreskrivs dessutom om skyldigheten för den som tillhandahåller tjänster att upprätta en plan för egenkontroll som innehåller riskhanteringsåtgärder. 

Enligt 19 § i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården ska den som tillhandahåller tjänster underrätta Tillstånds- och tillsynsverket för social- och hälsovården om betydande avvikelser när det gäller tillgodoseendet av de väsentliga kraven på ett informationssystem, om avvikelsen kan innebära en betydande risk för patientsäkerheten, informationssäkerheten eller dataskyddet. 

Syftet med lagen om produkter och utrustning för hälso- och sjukvård (629/2010) är att upprätthålla och främja säkerheten hos produkter och utrustning för hälso- och sjukvård och i användningen av dem. Lagen tillämpas på konstruktion och tillverkning av produkter och utrustning för hälso- och sjukvård och tillbehör till dem samt på hopsättning av vårdset och modulsammansatta produkter. Dessutom tillämpas lagen på utsläppande på marknaden av ovan nämnda produkter och sterilisering av dem i sådant syfte samt på ibruktagande, installation, underhåll, yrkesmässig användning, marknadsföring och distribution av produkterna. 

Enligt definitionen i lagens 5 § avses med produkter för hälso- och sjukvård instrument, apparater, anordningar, programvara, material och andra produkter eller annan utrustning som används separat eller i kombinationer och som tillverkaren avsett för användning på människor vid 

a) påvisande, förebyggande, övervakning, behandling eller lindring av sjukdom, 

b) påvisande, övervakning, behandling, lindring eller kompensation av en skada eller en funktionsnedsättning, 

c) undersökning, ersättning eller ändring av anatomin eller av en fysiologisk process, eller 

d) befruktningskontroll. 

I lagens 2 kap. finns bestämmelser om krav som gäller produkter för hälso- och sjukvård. Enligt 6 § 3 mom. ska en produkt vara lämpad för avsett ändamål och uppnå den funktion och de prestanda som den uppgetts ha, om den används för avsett ändamål. Användningen av en produkt på avsett sätt får inte i onödan äventyra patientens, användarens eller andra personers hälsa eller säkerhet. 

I lagens 17 § föreskrivs om verksamhetsutövarens skyldigheter. Enligt paragrafen ska verksamhetsutövaren iaktta de upplysningar och anvisningar om transport, förvaring, installation, underhåll och annan behandling av produkter för hälso- och sjukvård som tillverkaren har lämnat. 

Enligt lagens 25 § ska en yrkesmässig användare lämna rapport till Tillstånds- och tillsynsverket för social- och hälsovården och tillverkaren eller den auktoriserade representanten om varje sådan riskhändelse som inträffat vid användningen av en produkt för hälso- och sjukvård och som har lett till eller kunde ha lett till att patientens, användarens eller någon annans hälsa äventyrades och som beror på bl.a. produktens egenskaper, en avvikelse i produktens prestanda, brister i märkningen av produkten eller en felaktig bruksanvisning för produkten. 

Tillstånds- och tillsynsverket för social- och hälsovården kan meddela föreskrifter om hur riskhändelser ska rapporteras och vilka uppgifter som ska lämnas om dessa. Tillstånds- och tillsynsverket för social- och hälsovården har meddelat en föreskrift om anmälan från yrkesmässiga användare om riskhändelser i samband med produkter och utrustning för hälso- och sjukvård.  

Leverans och distribution av dricksvatten 

För sektorn leverans och distribution av dricksvatten anges inga delsektorer i bilaga II till direktivet om nät- och informationssäkerhet. Syftet med den finländska lagen om vattentjänster (119/2001) är att trygga vattentjänster som, till skäliga kostnader, ger tillgång till tillräckligt med hygieniskt och även i övrigt oklanderligt hushållsvatten samt sådan avloppshantering som är ändamålsenlig med avseende på hälso- och miljöskyddet. Enligt 14 § i lagen om vattentjänster ska vattentjänstverket se till att det hushållsvatten som verket levererar uppfyller kvalitetskraven i hälsoskyddslagen (763/1994). Enligt 15 § ska ett vattentjänstverk hålla sig informerat om dels de risker som hänför sig till kvantiteten av eller kvaliteten på det råvatten som det använder, dels i vilket skick verkets anordningar är. I detta syfte ska verket kontrollera kvantiteten av och kvaliteten på det råvatten som det använder, anordningarnas skick och mängden läckvatten i verkets vattenlednings- och avloppsnät. Enligt 15 a § svarar ett vattentjänstverk för att vattentjänsterna för de till verkets ledningsnät anslutna fastigheterna är tillgängliga i störningssituationer. Med störningssituationer avses enligt regeringens proposition om ändring av lagen om vattentjänster (RP 218/2013 rd) alla störningssituationer som försvårar eller riskerar produktionen av vattentjänster, utom sedvanliga driftstörningar. Exempel på störningssituationer är sådana skador på anordningar som har omfattande följder, andra allvarliga störningar i anordningar, system eller tjänster som hänför sig till vatten och avlopp, störningar som drabbar tekniska system samt störningssituationer som drabbar vattenförsörjning samt energi- och informationssystem. Störningar kan orsakas av bl.a. naturkatastrofer, extremt väder, lokala eller landsomfattande olyckor, ofog och brott. Med störningssituationer avses störningssituationer i såväl normala förhållanden som undantagsförhållanden. 

För att trygga tjänsterna ska verket enligt 15 a § i lagen om vattentjänster samarbeta med andra vattentjänstverk som är anslutna till samma ledningsnät samt med kommunen, de kommunala tillsynsmyndigheterna, räddningsmyndigheterna, avtalsparterna och kunderna. Vattentjänstverket ska utarbeta och uppdatera en plan för beredskap för störningssituationer och vidta de åtgärder som behövs enligt planen. Verket ska ge in planen till tillsyns myndigheten, räddningsmyndigheten och kommunen. 

De kvalitetskrav som gäller hushållsvattnets säkerhet grundar sig på Europaparlamentets och rådets direktiv 98/83/EG om kvaliteten på dricksvatten. Nationella bestämmelser om kvalitetskraven för hushållsvatten och om övervakning av kvaliteten finns i 17 § respektive 20 § i hälsoskyddslagen.  

Social- och hälsovårdsministeriet har i enlighet med 17 § och 20 § i hälsoskyddslagen utfärdat en förordning om kvalitetskrav på och kontrollundersökning av hushållsvatten (1352/2015).I förordningen finns bestämmelser om kvalitetskrav, kvalitetsmål och desinfektion i fråga om hushållsvatten, det förfarande som ska iakttas om hushållsvattnet inte uppfyller kvalitetskraven eller kvalitetsmålen, regelbunden övervakning av hushållsvatten,  innehållet i ansökan som gäller verksamheten för en anläggning som levererar hushållsvatten, bedömning och kontroll av risker som påverkar hushållsvattnets hälsokvalitet, begränsning av strålningsexponering som föranleds av radioaktiva ämnen i hushållsvatten och om innehållet i och utarbetandet av planer för beredskap med tanke på störningssituationer. 

2.1.5  2.1.5 Försörjningsberedskap och förberedelse för undantagsförhållanden

Med försörjningsberedskap avses enligt lagen om tryggande av försörjningsberedskapen de ekonomiska funktioner och därtill hörande tekniska system som tryggar befolkningens utkomst, landets näringsliv och landets försvar med tanke på undantagsförhållanden och allvarliga störningar som kan jämföras med undantagsförhållanden. Sektorer som är kritiska med tanke på Finlands försörjningsberedskap är enligt beslutet om försörjningsberedskapen, utöver informationssamhällssektorn, energiförsörjningen, finansförsörjningen, transportlogistiken, hälso- och sjukvården, livsmedelsförsörjningen och den kritiska industriproduktionen. Alla dessa områden är i olika avseende beroende av att informations- och kommunikationssystemen fungerar störningsfritt. 

Beredskapslagen som trädde i kraft 2012 ska tillämpas i samband med allvarliga samhälleliga kriser. I beredskapslagen föreskrivs om de finländska myndigheternas interna befogenheter under undantagsförhållanden för att garantera befolkningens säkerhet och livsbetingelser samt ett fungerande samhälle. Som undantagsförhållanden enligt 3 § i beredskapslagen betraktas 1) ett mot Finland riktat väpnat angrepp eller annat så allvarligt angrepp att det kan jämställas med ett väpnat angrepp och förhållandena omedelbart efter angreppet, 2) ett mot Finland riktat avsevärt hot om väpnat angrepp eller om annat så allvarligt angrepp att det kan jämställas med ett väpnat angrepp, om befogenheter enligt beredskapslagen måste tas i bruk omedelbart för att avvärja verkningarna av hotet, 3) sådana synnerligen allvarliga händelser eller hot mot befolkningens försörjning eller mot grunderna för landets näringsliv som innebär en väsentlig risk för samhällets vitala funktioner, 4) en synnerligen allvarlig storolycka och förhållandena omedelbart efter den, samt 5) en pandemi som till sina verkningar kan jämföras med en synnerligen allvarlig storolycka. Enligt lagens 13 § leds och övervakas förberedelserna av statsrådet samt av varje ministerium inom sitt ansvarsområde. Varje ministerium samordnar förberedelserna inom sitt eget ansvarsområde.  

Bestämmelser om förberedelser för undantagsförhållanden och störningar under normala förhållanden finns också i flera sektorspecifika speciallagar. 

2.1.6  2.1.6.Övrig lagstiftning av betydelse för informationssäkerheten i samhällsviktiga tjänster

Förutom i den sektorspecifika speciallagstiftningen finns det också i den övriga lagstiftningen sådana bestämmelser om hantering av informationssäkerhetsrisker och rapportering av störningar i informationssäkerheten som påverkar tillhandahållandet av tjänster. Exempelvis gäller säkerhetsskyldigheterna i samband med behandlingen av personuppgifter i princip leverantörer av tjänster inom alla sektorer. När tjänster tillhandahålls av myndigheter omfattas de dessutom av kraven på informationssäkerhet enligt informationssäkerhetsförordningen, som utfärdats med stöd av offentlighetslagen. 

Säkerhetsrelaterade skyldigheter vid behandling av personuppgifter 

Syftet med personuppgiftslagen (523/1999) är att genomföra de grundläggande fri- och rättigheter som tryggar skydd för privatlivet samt övriga grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten vid behandling av personuppgifter samt att främja utvecklandet och iakttagandet av god informationshantering. Personuppgiftslagen är en allmän lag vars bestämmelser ska iakttas vid behandling av personuppgifter, om inte annat anges någon annanstans i lag. Bestämmelserna i personuppgiftslagen ska därmed i regel iakttas också när personuppgifter behandlas i samband med tillhandahållandet av samhällsviktiga tjänster. 

I lagens 7 kap. finns bestämmelser om informationssäkerhet vid hanteringen av personuppgifter och förvaringen av dem. Enligt lagens 32 § ska den registeransvarige genomföra de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifterna mot obehörig åtkomst och mot förstöring, ändring, utlämnande och översändande som sker av misstag eller i strid med lag eller mot annan olaglig behandling. Vid genomförandet av åtgärderna ska hänsyn tas till de tillgängliga tekniska möjligheterna, kostnaderna som orsakas av åtgärderna, uppgifternas art, mängd och ålder samt vilken betydelse behandlingen av uppgifterna har med avseende på integritetsskyddet. 

Genom personuppgiftslagen har Finland genomfört Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter nedan personuppgiftsdirektivet. Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan den allmänna dataskyddsförordningen,, ersätter personuppgiftsdirektivet fr.o.m. den 25 maj 2018. Förordningen är direkt tillämplig i Finland. I artikel 32 i den allmänna dataskyddsförordningen föreskrivs om säkerhet i samband med behandlingen av personuppgifter. I artikel 33 i förordningen föreskrivs om skyldigheten att anmäla personuppgiftsincidenter till tillsynsmyndigheten. Enligt artikeln ska den registeransvarige utan onödigt dröjsmål anmäla personuppgiftsincidenten till tillsynsmyndigheten. I artikeln finns också bestämmelser om minimikrav för innehållet i anmälan och om skyldigheten att dokumentera personuppgiftsincidenter. 

Säkerhetsrelaterade skyldigheter som gäller myndigheternas informationshantering 

Bestämmelser om myndighetshandlingars offentlighet och om behandlingen av en begäran om att få ta del av en handling samt om allmänna skyldigheter i anknytning till god informationshantering finns i offentlighetslagen. 

I informationssäkerhetsförordningen, som utfärdats med stöd av bemyndigandet att utfärda förordningar i offentlighetslagens 36 §, föreskrivs om de allmänna kraven på informationssäkerhet i fråga om hanteringen av handlingar hos en statsförvaltningsmyndighet samt om grunderna för klassificeringen av handlingar och de krav på informationssäkerhet som motsvarar klassificeringen och som ska iakttas vid hanteringen av handlingar. Om samhällsviktiga tjänster tillhandahålls av en myndighet ska den iaktta skyldigheterna enligt informationssäkerhetsförordningen. 

Säkerhetsrelaterade skyldigheter som gäller elektronisk identifiering 

I lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) (autentiseringslagen) finns bestämmelser om stark autentisering och tillhandahållande av identifieringstjänster till tjänsteleverantörer, till allmänheten och till andra leverantörer av identifieringstjänster. I lagens 8 § föreskrivs om krav på system för elektronisk identifiering, inklusive informationssäkerhetskrav. Enligt 13 § ska leverantören av identifieringstjänster ansvara för skyddet av uppgifterna enligt 32 § i personuppgiftslagen och för en tillräcklig informationssäkerhet i fråga om sina tjänster. Enligt 16 § ska en leverantör av identifieringstjänster trots sekretessbestämmelserna utan ogrundat dröjsmål anmäla betydande hot och störningar som riktas mot tjänsternas funktion, informationssäkerheten eller användningen av en elektronisk identitet till de tjänsternas förlitande parter, till innehavarna av identifieringsverktyg, till övriga avtalsparter i förtroendenätet och till Kommunikationsverket. Kommunikationsverket får för anmälarens räkning på teknisk väg förmedla uppgifterna mellan parterna i förtroendenätet trots vad som föreskrivs i offentlighetslagen. Enligt 29 § ska en leverantör av identifieringstjänster regelbundet låta ett sådant bedömningsorgan som nämns i lagen bedöma om identifieringstjänsten uppfyller kraven på interoperabilitet, informationssäkerhet, dataskydd och annan tillförlitlighet enligt autentiseringslagen. 

2.1.7  2.1.7 Myndighetstillsyn och lägesbilden

I Finland utövas tillsyn över de kvalitets- och säkerhetsrelaterade skyldigheter som beskrivs ovan av olika myndigheter beroende på verksamhetens art. Efterlevnaden av skyldigheterna i samband med verksamhetens säkerhet eller informationssäkerhet övervakas av flera myndigheter. Exempelvis övervakar Kommunikationsverket efterlevnaden av säkerhets- och informationssäkerhetsrelaterade skyldigheter som gäller televerksamhet medan Finansinspektionen övervakar dessa skyldigheter i fråga om kreditinstituts verksamhet och Tillstånds- och tillsynsverket för social- och hälsovården övervakar skyldigheterna i fråga om behandlingen av klientuppgifter inom sjukvården. Kommunikationsverket har inga egentliga allmänna tillsynsuppgifter som gäller informationssäkerheten i samhällsviktiga tjänster, även om verket generellt stöder och hjälper medborgarna och företagen att sörja för informationssäkerheten, t.ex. genom att tillhandahålla en nationell kontaktpunkt för hantering av it-säkerhetsincidenter, CERT (Computer Emergency Response Team), vars uppgift är att utreda kränkningar och hot om kränkningar av informationssäkerheten för nättjänster, kommunikationstjänster och mervärdestjänster, samla information om sådana incidenter och informera om informationssäkerhet på ett allmänt plan. Kommunikationsverket upprätthåller också en allmän lägesbild av informationssäkerheten. Kommunikationsverket får en betydande del av sin information om incidenter och sårbarheter genom frivilliga anmälningar från näringsidkare.  

Den allmänna lägesbilden av säkerheten på statsnivå sammanställs av Statsrådets lägescentral, som också utnyttjar information från tillsynsmyndigheterna inom olika sektorer och från andra myndigheter.  

Statsrådets lägescentral 

Enligt 12 § 7 punkten i reglementet för statsrådet (262/2003), som utfärdats med stöd av lagen om statsrådet (175/2003), hör statsrådets gemensamma lägesbild, beredskap och säkerhet samt den allmänna samordningen av hanteringen av störningssituationer till statsrådets kanslis ansvarsområde.  

Statsrådets lägescentral, som är verksam dygnet runt, inrättades i september 2007 för att statsledningen och myndigheterna kontinuerligt ska få information. Lagen om statsrådets lägescentral trädde i kraft i juli 2017. I lagen föreskrivs om statsrådets lägescentrals uppgifter och om informationsutbyte mellan myndigheterna. Enligt lagens 1 § ska statsrådets lägescentral för att stödja republikens presidents och statsrådets beslutsfattande och verksamhet samla in och analysera information om säkerhetssituationen och sådana störningar och hot om störningar som äventyrar samhällets vitala funktioner, sköta och koordinera förvaltningsövergripande uppgifter som hänför sig till upprätthållande, sammanställande, samordnande och förmedlande av en beskrivning av lägesbilden samt sprida den samordnade informationen till republikens president, statsrådet och andra myndigheter. I lagen föreskrivs dessutom om skyldigheten för ministerierna samt ämbetsverken och inrättningarna inom deras förvaltningsområde att informera statsrådets lägescentral om olyckor, farosituationer, exceptionella händelser och andra motsvarande störningar samt om rätten för lägescentralen att få information och om utlämnande av sekretessbelagd information.  

Statsrådets lägescentral tar fram information om säkerhetsincidenter i realtid och sammanställer en lägesbild utifrån uppgifter från de behöriga myndigheterna. Lägescentralen sammanför uppgifterna från de olika myndigheterna och från öppna källor och lämnar utifrån dessa en rapport till statsledningen och de olika myndigheterna.  

Kommunikationsverket 

Kommunikationsverkets uppgifter och särskilda uppgifter definieras i informationssamhällsbalken och i vissa andra lagar. Enligt informationssamhällsbalken hör till Kommunikationsverkets särskilda uppgifter att bl.a. främja den elektroniska kommunikationens funktion, störningsfrihet och trygghet, samla in information om kränkningar och hot om kränkningar av informationssäkerheten för nättjänster, kommunikationstjänster och mervärdestjänster samt om fel och störningar i kommunikationsnät och kommunikationstjänster, informera om frågor som gäller informationssäkerhet samt om kommunikationsnäts och kommunikationstjänsters funktion samt utreda kränkningar och hot om kränkningar av informationssäkerheten för nättjänster, kommunikationstjänster och mervärdestjänster. 

Trafiksäkerhetsverket  

Enligt lagen om Trafiksäkerhetsverket svarar Trafiksäkerhetsverket för reglerings- och övervakningsuppgifter inom trafiksystemet och främjar trafiksäkerheten. Trafiksäkerhetsverket upprätthåller också en lägesbild av trafiksystemet, som beskriver säkerhetsläget inom Finlands trafiksystem. 

I luftfartslagen föreskrivs om Trafiksäkerhetsverkets uppgifter som gäller efterlevnaden av säkerhetskraven inom luftfarten och luftfartsverksamhetens överensstämmelse med kraven. Utöver vad som i luftfartslagen föreskrivs om Trafiksäkerhetsverkets uppgifter, är Trafiksäkerhetsverket behörig nationell myndighet enligt bl.a. EASA-förordningen och händelseförordningen. Trafiksäkerhetsverket är också den luftfartsmyndighet som avses i Finlands internationella luftfartsavtal och om vilken det föreskrivs i luftfartslagens 173 §. Händelser som kan äventyra flygsäkerheten ska rapporteras till Trafiksäkerhetsverket i enlighet med gällande lagstiftning.  

Trafiksäkerhetsverket ska övervaka den allmänna sjösäkerheten och att gott sjömanskap iakttas. Enligt lagen om fartygstrafikservice övervakar Trafiksäkerhetsverket och VTS-myndigheten iakttagandet av de bestämmelser och föreskrifter som utfärdats med stöd av den. I 18 § i lagen om fartygstrafikservice föreskrivs om VTS-myndighetens skyldighet att till Trafiksäkerhetsverket rapportera om vissa väsentliga omständigheter som har samband med sjösäkerheten och att meddela verket  sina iakttagelser av hur lotsningslagen HYPERLINK "http://www.finlex.fi/sv/laki/ajantasa/2003/20030940" \o "Uppdaterad lagstiftning" (940/2003) följs. Trafiksäkerhetsverket är även behörig myndighet enligt lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet.  

Trafiksäkerhetsverket övervakar att järnvägssystemets säkerhetskrav iakttas samt överensstämmelsen hos järnvägsoperatörernas och bannätsförvaltarnas säkerhetsstyrningssystem. Övervakningen regleras av Europeiska kommissionens förordning (EU) nr 1077/2012 om nationella säkerhetsmyndigheters tillsyn efter utfärdande av ett säkerhetsintyg eller säkerhetstillstånd.  

Tillstånds- och tillsynsverket för social- och hälsovården  

Enligt 38 § i lagen om produkter och utrustning för hälso- och sjukvård har Tillstånds- och tillsynsverket för social- och hälsovården till uppgift att övervaka och främja säkerheten hos produkter för hälso- och sjukvård och i användningen av dem samt produkternas överensstämmelse med kraven. 

För skötseln av denna uppgift för Tillstånds- och tillsynsverket för social- och hälsovården ett register över riskhändelser. Tillstånds- och tillsynsverket för social- och hälsovården ska utvärdera de rapporter om riskhändelser som lämnats in av de anmälningsskyldiga och vidta åtgärder som behövs för tryggandet av hälsa och säkerhet.  

Tillstånds- och tillsynsverket för social- och hälsovården ska dessutom övervaka att de väsentliga kraven på informationssystem avsedda för behandling av klient- och patientuppgifter inom social- och hälsovården uppfylls. Enligt lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården har Tillstånds- och tillsynsverket för social- och hälsovården till uppgift att övervaka och främja informationssystemens överensstämmelse med kraven. Enligt lagen ska tillhandahållare av social- eller hälsovårdstjänster underrätta Tillstånds- och tillsynsverket för social- och hälsovården om betydande avvikelser när det gäller tillgodoseendet av de väsentliga kraven på ett informationssystem om avvikelsen kan innebära en betydande risk för patientsäkerheten, informationssäkerheten eller dataskyddet. 

Institutet för hälsa och välfärd  

Institutet för hälsa och välfärd lyder under social- och hälsovårdsministeriet, och dess syfte enligt lagen om Institutet för hälsa och välfärd är att främja befolkningens välfärd och hälsa, förebygga sjukdomar och sociala problem och utveckla social- och hälsovården och dess service. Enligt 2 § 4 b-punkten i ovan nämnda lag ska institutet svara för planeringen, styrningen och uppföljningen av den elektroniska behandlingen av klientuppgifter inom social- och hälsovården och informationsadministrationen i anslutning därtill samt av användningen och realiseringen av riksomfattande informationssystemtjänster. Enligt 19 a § i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården får Institutet för hälsa och välfärd vid behov meddela närmare föreskrifter om innehållet i de väsentliga kraven på informationssystem som används för behandling av klient- och patientuppgifter inom socialvården. 

Finansinspektionen 

Enligt lagen om Finansinspektionen är syftet med Finansinspektionens verksamhet är att kreditinstituten, försäkringsanstalterna, pensionsanstalterna och andra tillsynsobjekt bedriver en stabil verksamhet som är en förutsättning för finansmarknadens stabilitet, att de försäkrade förmånerna tryggas och att det allmänna förtroendet för finansmarknadens funktionssätt upprätthålls. Finansinspektionen ska övervaka att finansmarknadsaktörerna iakttar de på dem tillämpliga bestämmelserna om finansmarknaden och med stöd av dem utfärdade föreskrifter, villkoren i sina verksamhetstillstånd och stadgarna som gäller deras verksamhet. Enligt lagen om Finansinspektionen får Finansinspektionen meddela föreskrifter om vilka uppgifter om tillsynsobjekts ekonomiska ställning, ägare, interna kontroll och riskhantering, förvaltnings- och kontrollorgan, tjänstemän och verksamhetsställen som regelbundet ska lämnas till Finansinspektionen. 

Energimyndigheten 

Bestämmelser om Energimyndighetens uppgifter finns i lagen om tillsyn över el- och naturgasmarknaden (590/2013). Enligt 2 § tillämpas lagen på skötseln av de tillsyns- och kontrolluppgifter som Energimyndigheten ska sköta enligt bl.a. elmarknadslagen och naturgasmarknadslagen samt i de bestämmelser och myndighetsföreskrifter som utfärdats med stöd av lagarna. 

Bestämmelser om Energimyndighetens behörighet i tillsynsärenden finns i lagens 9 §. Om någon bryter mot eller försummar de förpliktelser som föreskrivs i den nationella lagstiftning eller EU-lagstiftning som avses i 2 § i den lagen, ska Energimyndigheten förplikta vederbörande att rätta till sin överträdelse eller försummelse. I beslutet kan det bestämmas hur överträdelsen eller försummelsen ska rättas. 

I lagens 30 § föreskrivs om Energimyndighetens rätt att få uppgifter och utföra granskningar. Enligt lagen ska näringsidkare som bedriver verksamhet som är underkastad tillsyn lämna Energimyndigheten den information och de handlingar som behövs för skötseln av de tillsynsuppgifter som avses i den lagen. Utöver detta ska Energimyndigheten ges de statistikuppgifter och andra uppgifter som behövs för skötseln av andra uppgifter som avses i denna lag eller för uppfyllande av internationella avtalsförpliktelser. 

Leverans och distribution av dricksvatten 

Den allmänna styrningen och uppföljningen av verkställigheten av lagen om vattentjänster hör till jord- och skogsbruksministeriets uppgifter. Tillsynsmyndigheter enligt lagen om vattentjänster är närings-, trafik- och miljöcentralen, den kommunala hälsoskyddsmyndigheten och miljövårdsmyndigheten, var och en av dem inom sitt ansvarsområde.  

Närings-, trafik- och miljöcentralen och den kommunala miljövårdsmyndigheten övervakar att vattentjänstverket fullgör sin lagstadgade samarbets- och planeringsskyldighet för att förbereda sig för störningssituationer. Vattentjänstverken är dock enligt lagen om vattentjänster inte skyldiga att underrätta myndigheten om avbrott i distributionen eller om andra störningar. 

Enligt 4 § i hälsoskyddslagen utövas den högsta ledningen och styrningen av den allmänna planeringen av och tillsynen över hälsoskyddet av social- och hälsovårdsministeriet. Social- och hälsovårdsministeriet ansvarar för kvalitetskraven på och kontrollen av hushållsvattnet i Finland. Den förordning av social- och hälsovårdsministeriet som utfärdats med stöd av hälsoskyddslagen föreskriver om kvalitetskrav på och kontrollundersökning av hushållsvatten.  

Husållsvattnets kvalitet kontrolleras regelbundet. Syftet med kontrollen är att övervaka vattnets kvalitet så att man kan säkerställa att det vatten som distribueras inte ger sanitära olägenheter. Om hushållsvattnet inte uppfyller kvalitetskraven och vattnet kan ge sanitära olägenheter, ska den kommunala hälsoskyddsmyndigheten tillsammans med anläggningen som levererar vattnet utreda orsaken till störningen i vattnets kvalitet. Hälsoskyddsmyndigheten ska förelägga vattenleverantören att så snart som möjligt rätta förhållandet och ge vattenförbrukarna anvisningar om hur sanitära olägenheter kan förebyggas. 

I lagstiftningen delas anläggningarna in i stora och små anläggningar. Stora anläggningar är sådana som levererar minst 10 kubikmeter vatten om dagen eller motsvarande minst 50 personers behov. Uppgifterna om vattenkvaliteten hos de allra största leverantörerna av hushållsvatten – de som levererar minst 1 000 kubikmeter vatten om dagen eller för behoven hos minst 5 000 förbrukare – sänds till Europeiska kommissionen. 

Den kommunala hälsoskyddsmyndigheten ska sända resultaten från dessa kontrollundersökningar till regionförvaltningsverket. Institutet för hälsa och välfärd upprättar årligen en rapport om vattenkvaliteten i dessa anläggningar. Tillstånds- och tillsynsverket för social- och hälsovården publicerar rapporten på sin webbplats. 

Tillstånds- och tillsynsverket för social- och hälsovården styr de kommunala hälsoskyddsmyndigheterna i frågor som gäller tillsynen över och kvaliteten på hushållsvatten. Därtill styr och övervakar regionförvaltningsverket hälsoskyddet inom sitt verksamhetsområde. 

2.1.8  2.1.8 Samarbete och utbyte av information mellan myndigheter

Direktivet om nät- och informationssäkerhet förpliktar de myndigheter som ansvarar för informationssäkerheten att samarbeta i den mån som behövs för att övervaka efterlevnaden av skyldigheterna enligt direktivet. I Finland finns bestämmelser om de allmänna grunderna för samarbetet mellan myndigheter i förvaltningslagen. Enligt förvaltningslagens 10 § ska varje myndighet inom ramen för sin behörighet och i den omfattning ärendet kräver på andra myndigheters begäran bistå dessa i skötsel av en förvaltningsuppgift, och även i övrigt sträva efter att främja samarbetet mellan myndigheterna. Om handräckning mellan myndigheterna föreskrivs särskilt. 

I offentlighetslagen föreskrivs om myndigheters utlämnande av sekretessbelagda uppgifter. Enligt lagens 26 § får en myndighet lämna ut uppgifter ur en sekretessbelagd myndighetshandling om i lag särskilt tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få uppgifter, eller när sekretessplikt har föreskrivits till skydd för någons intressen och denne samtycker till att uppgifter lämnas ut. 

Enligt samma paragraf får en myndighet lämna ut uppgifter ur en sekretessbelagd handling för handräckning som myndigheten lämnar samt för något annat uppdrag som myndigheten givit eller någon uppgift som i övrigt handhas för myndighetens räkning om detta är nödvändigt för att uppdraget eller uppgiften ska kunna skötas.Myndigheten ska på förhand försäkra sig om att uppgifterna kommer att hemlighållas och skyddas på behörigt sätt. Bestämmelser om myndigheters rätt eller skyldighet att samarbeta och utbyta sekretessbelagda uppgifter med andra myndigheter finns i speciallagar som reglerar flera olika myndigheters verksamhet.  

2.1.9  2.1.9 Påföljder

Enligt grundlagen ska all utövning av offentlig makt bygga på lag. I lag ska således föreskrivas om myndigheternas befogenheter och om påföljderna för överträdelse av lagen. Ett flertal lagar innehåller bestämmelser om tillsynsmyndighetens rätt att ge den som bryter mot lagen en anmärkning eller ålägga den att rätta till felet, eller påföra andra administrativa sanktioner såsom påföljdsavgifter. Exempelvis föreskrivs i 330 § i informationssamhällsbalken att tillsynsmyndigheterna när de sköter uppgifter enligt den lagen kan meddela den som bryter mot lagen eller mot bestämmelser som utfärdats eller föreskrifter, beslut eller tillståndsvillkor som meddelats med stöd av lagen en anmärkning samt ålägga denne att inom en skälig tid avhjälpa sitt fel eller sin försummelse. Enligt järnvägslagens 86 § kan Trafiksäkerhetsverket ge ett järnvägsföretag eller en annan järnvägsoperatör eller bannätsförvaltare som avses i lagen en anmärkning eller varning, om denne handlar i strid med järnvägslagen eller de bestämmelser som utfärdats med stöd av den. Vidare får Trafiksäkerhetsverket enligt 87 § ålägga en järnvägsoperatör eller en bannätsförvaltare att avhjälpa fel eller försummelser samt ålägga denne förpliktelser eller förbjuda en åtgärd, om denne trots en anmärkning eller varning handlar i strid med järnvägslagen. Enligt VI avd. 1 kap. 4 § i lagen om transportservice kan Trafiksäkerhetsverket ålägga den som bryter mot den lagen, mot EU-förordningar som gäller verksamhet som omfattas av lagen eller mot bestämmelser som utfärdats eller föreskrifter som meddelats med stöd av lagen, att rätta till felet eller försummelsen. I 19 § i lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet föreskrivs att om hamninnehavaren inte iakttar bestämmelserna i förordningen om sjöfartsskydd eller bestämmelserna i den lagen ska Trafiksäkerhetsverket, efter att ha hört den som gjort sig skyldig till försummelsen, meddela behövliga anvisningar och förelägganden för avhjälpande av bristerna eller missförhållandena. Verket får fastställa en frist för avhjälpandet av bristerna eller missförhållandena. Enligt 33 § i lagen om Finansinspektionen kan Finansinspektionen förbjuda verkställigheten av tillsynsobjekts och andra finansmarknadsaktörers beslut och av åtgärder som tillsynsobjekt och andra finansmarknadsaktörer har planerat eller ålägga tillsynsobjekt och andra finansmarknadsaktörer att upphöra med ett förfarande, om beslutet, åtgärden eller förfarandet strider mot de bestämmelser om finansmarknaden som tillämpas på tillsynsobjektet eller finansmarknadsaktören eller mot föreskrifter som har meddelats med stöd av dem, mot tillståndsvillkor eller mot stadgar som gäller tillsynsobjektets eller finansmarknadsaktörens verksamhet. Enligt 29 § i lagen om vattentjänster kan tillsynsmyndigheten förbjuda den som bryter mot lagen eller med stöd av den utfärdade bestämmelser att fortsätta eller upprepa överträdelsen eller ålägga denne att fullgöra sin skyldighet. 

Enligt 67 § i förvaltningslagen kan en myndighet förena ett förbud, ett åläggande eller ett krav som den har meddelat med vite, hot om tvångsutförande eller hot om avbrytande eller med någon annan administrativ påföljd enligt vad som föreskrivs särskilt. Bestämmelser om sådana administrativa påföljder finns i 332 § i informationssamhällsbalken, 151 § i luftfartslagen, 87 § i järnvägslagen, VI avd. 1 kap. 4 § i lagen om transportservice, 31 § i lagen om tillsyn över el- och naturgasmarknaden, 33 a § i lagen om Finansinspektionen, 30 § i lagen om vattentjänster, 20 f § i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården samt i 52 § i lagen om produkter och utrustning för hälso- och sjukvård. 

2.2.1  2.2.1 EU-lagstiftningen

År 2013 lade kommissionen fram meddelandet EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd (JOIN(2013) 1 final).Ett av syftena med strategin är att utveckla informationssamhällets stabilitet genom att förbättra beredskapen, samarbetet, kunnandet och informationsutbytet när det gäller nät- och informationssäkerheten. Som ett led i genomförandet av strategin lade kommissionen samtidigt fram ett förslag till direktiv om nät- och informationssäkerhet.  

Direktivets övergripande syfte är att öka nivån på skyddet mot incidenter, risker och hot avseende nät- och informationssäkerheten. Syftet är att uppnå en hög säkerhetsnivå för nät- och informationssystem i EU genom att förbättra beredskapen på nationell nivå, öka samarbetet på EU-nivå och föreskriva riskhanterings- och rapporteringsskyldigheter för leverantörer av samhällsviktiga tjänster och vissa leverantörer av digitala tjänster. 

Genom direktivet åläggs medlemsstaterna att upprätta en nationell strategi för säkerhet i nätverks- och informationssystem samt att fastställa myndighetsuppgifter enligt direktivet för att garantera informationssäkerheten och hantera risker inom olika sektorer. Medlemsstaterna åläggs också att samarbeta sinsemellan i nya samarbetsgrupper på EU-nivå för att dela information om säkerhetsöverträdelser samt bästa nationella praxis.  

Definition av myndighetsuppgifter 

Enligt direktivet om nät- och informationssäkerhet ska medlemsstaterna upprätta en nationell strategi för säkerhet i nätverks- och informationssystem samt att fastställa myndighetsuppgifter enligt direktivet för att garantera informationssäkerheten och hantera risker inom olika sektorer. Medlemsstaterna åläggs också att samarbeta sinsemellan i nya samarbetsgrupper på EU-nivå för att dela information om säkerhetsöverträdelser samt bästa nationella praxis.  

Behörig myndighet 

Enligt artikel 8.1 i direktivet ska varje medlemsstat utse en eller flera nationella behöriga myndigheter för säkerhet i nätverks- och informationssystem, åtminstone för de sektorer som avses i bilaga II och de tjänster som avses i bilaga III. Medlemsstaterna får tilldela en eller flera befintliga myndigheter denna roll. Enligt artikel 8.2 ska de behöriga myndigheterna övervaka tillämpningen av direktivet på nationell nivå. Enligt artiklarna 15 och 17 ska de behöriga myndigheterna ha de befogenheter och medel de behöver för att bedöma huruvida leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster uppfyller sina skyldigheter enligt direktivet och effekterna därav på säkerheten i nätverks- och informationssystem. Enligt artiklarna 14 och 16 ska incidenter som definieras i direktivet rapporteras till behöriga myndigheter eller till CSIRT-enheter (Computer security incident response teams). 

Gemensamma nationella kontaktpunkter 

Varje medlemsstat ska utöver behöriga myndigheter utse en gemensam nationell kontaktpunkt för säkerhet i nätverks- och informationssystem. Medlemsstaterna får tilldela en befintlig myndighet denna roll. Den gemensamma kontaktpunkten ska utöva en sambandsfunktion för att säkerställa gränsöverskridande samarbete mellan medlemsstaternas myndigheter. Den gemensamma kontaktpunkten bör inte direkt ta emot några rapporter om incidenter, såvida den inte också fungerar som behörig myndighet eller som en CSIRT-enhet. En behörig myndighet eller en CSIRT-enhet bör dock kunna ge den gemensamma kontaktpunkten i uppgift att vidarebefordra incidentrapporter till de gemensamma kontaktpunkterna i andra berörda medlemsstater. Den gemensamma kontaktpunkten ska förse samarbetsgruppen med en sammanfattande rapport som innehåller uppgifter om antalet mottagna incidentrapporter samt information om de rapporterade incidenternas art, såsom vilka typer av säkerhetsöverträdelser det rör sig om eller hur allvarliga eller långvariga de varit. 

CSIRT-enheter 

Varje medlemsstat ska enligt direktivet utse en eller flera CSIRT-enheter. Enheten ska uppfylla kraven i bilaga I till direktivet. CSIRT-enheterna ansvarar för hanteringen av incidenter och risker. CSIRT-enheters uppgifter ska omfatta minst följande:  

övervakning av incidenter på nationell nivå, 

tillhandahållande av tidiga varningar, larm, meddelanden och informationsspridning till relevanta aktörer om risker och incidenter, 

åtgärder till följd av incidenter, 

tillhandahållande av dynamisk risk- och incidentanalys och situationsmedvetenhet, 

deltagande i CSIRT-nätverket. 

Vidare ska CSIRT-enheter bygga upp samarbetsrelationer med den privata sektorn och främja antagandet och användningen av gemensam eller standardiserad praxis för förfaranden för hantering av incidenter och risker samt för klassificeringssystem.  

EU-samarbete 

I direktivet om nät- och informationssäkerhet föreskrivs att det på EU-nivå inrättas en samarbetsgrupp för att stödja och underlätta strategiskt samarbete och utbyte av information mellan medlemsstaterna och skapa förtroende och tillit, och i syfte att uppnå en hög gemensam nivå på säkerheten i nätverks- och informationssystem i unionen. Samarbetsgruppen består av företrädare för medlemsstaterna, kommissionen och Europeiska unionens byrå för nät- och informationssäkerhet (Enisa, European Union Agency for Network and Information Security). Samarbetsgruppens uppgifter anges i direktivet. 

I direktivet föreskrivs också om inrättandet av ett nätverk på EU-nivå för nationella CSIRT-enheter. CSIRT-nätverket består av företrädare för medlemsstaternas CSIRT-enheter och incidenthanteringsorganisationen för EU:s institutioner och byråer (CERT-EU). Nätverkets uppgifter anges i direktivet. 

Identifiering av leverantörer av samhällsviktiga tjänster 

Enligt direktivet om nät- och informationssäkerhet ska medlemsstaterna för varje sektor som avses i direktivet identifiera de leverantörer av samhällsviktiga tjänster som är etablerade på deras territorium. De sektorer som ingår i direktivets tillämpningsområde definieras i bilaga II till direktivet. 

BILAGA II 

TYPER AV ENHETER ENLIGT ARTIKEL 4.4  

I direktivet anges kriterierna för identifiering av leverantörer av samhällsviktiga tjänster. Enligt direktivet ska leverantörer av samhällsviktiga tjänster tillhandahålla tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Denna tjänst ska vara beroende av nätverks- och informationssystem. Ett ytterligare kriterium är att en incident i tjänsten skulle medföra en betydande störning vid tillhandahållandet av tjänsten.  

Enligt direktivet ska medlemsstaterna upprätta en förteckning över samhällsviktiga tjänster. Förteckningen över tjänster ska omfatta alla de tjänster som tillhandahålls på en viss medlemsstats territorium och som uppfyller kraven enligt direktivet.  

Enligt direktivet kan identifieringen av leverantörer av samhällsviktiga tjänster göras genom att exempelvis anta en förteckning över alla leverantörer av samhällsviktiga tjänster eller genom att anta åtgärder som gör det möjligt att fastställa dessa leverantörer. 

När medlemsstaterna bedömer om en incident skulle medföra en betydande störning, vilket är ett av kriterierna för identifiering av leverantörer av samhällsviktiga tjänster, ska de beakta de faktorer som anges i direktivet, t.ex. det antal användare som är beroende av tjänsten och aktörens marknadsandel. Även sektorsspecifika faktorer ska beaktas vid fastställandet av huruvida en incident skulle medföra en betydande störning vid tillhandahållandet av en samhällsviktig tjänst. I direktivets ingress ges följande exempel på detta: 

”När det gäller energileverantörer kan sådana faktorer omfatta mängden eller andelen producerad nationell el, för oljeleverantörer mängden olja per dag, för lufttransport, inbegripet flygplatser och lufttrafikföretag, järnvägstransport och kusthamnar andelen nationell trafikmängd och antalet passagerare eller lastningar per år, för bankverksamhet eller finansmarknadsinfrastrukturer deras betydelse för systemet på grundval av samlade tillgångar eller förhållandet mellan dessa tillgångar och BNP, för hälso- och sjukvårdssektorn antalet patienter som leverantören vårdar per år, för produktion, bearbetning och leverans av vatten, volym, antal och typer av användare, inbegripet t.ex. sjukhus, offentlig sektor, organisationer och personer) samt förekomsten av alternativa vattenkällor för samma geografiska område.” 

Medlemsstaterna ska regelbundet (minst vartannat år) se över och vid behov uppdatera förteckningen över identifierade leverantörer av samhällsviktiga tjänster. Enligt direktivet krävs det vid identifiering av leverantörer av samhällsviktiga tjänster att leverantören utför en faktisk och reell verksamhet med hjälp av en stabil struktur för att den ska anses vara etablerad i en medlemsstat. Om aktörerna tillhandahåller både samhällsviktiga och andra typer av tjänster ska de omfattas av kraven i direktivet endast när det gäller tjänster som anses vara samhällsviktiga. 

Skyldigheter som gäller informationssäkerhet och rapportering 

Enligt direktivet ska medlemsstaterna ålägga leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster att hantera risker för säkerheten i deras nätverks- och informationssystem och att rapportera incidenter till behöriga myndigheter eller till CSIRT-enheter.  

Skyldigheter för leverantörer av samhällsviktiga tjänstermed avseende på hantering av säkerhetsrisker 

Enligt direktivet ska medlemsstaterna ålägga leverantörer av samhällsviktiga tjänster att hantera risker för säkerheten i nätverks- och informationssystem samt att rapportera betydande informationssäkerhetsincidenter till myndigheterna. Med säkerhet i nätverks- och informationssystem avses dessa systems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, riktigheten, integriteten eller konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem. 

De riskhanteringsåtgärder som leverantörer av tjänster åläggs bör inte innebära krav på att någon särskild kommersiell informations- och kommunikationsteknisk produkt utformas, utvecklas eller tillverkas på ett visst sätt.  

Leverantörer av tjänster bör säkerställa säkerheten i de nätverks- och informationssystem som de använder. Det rör sig framför allt om privata nätverks- och informationssystem som antingen förvaltas av deras interna it-personal eller vilkas säkerhet har lagts ut på entreprenad. Säkerhets- och rapporteringskraven bör gälla oavsett om leverantörerna sköter underhållet av sina nätverks- och informationssystem internt eller lägger ut uppgifterna på entreprenad. 

Skyldigheter för leverantörer av digitala tjänstermed avseende på hantering av säkerhetsrisker 

Enligt artikel 16 ska även leverantörer av digitala tjänster åläggas att hantera risker för säkerheten i deras nätverks- och informationssystem och att rapportera incidenter till behöriga myndigheter eller till CSIRT-enheter.  

Leverantörer av digitala tjänster är i enlighet med bilaga III till direktivet internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Enligt direktivet finns det avgörande skillnader mellan leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster, varför den lagstiftning som gäller leverantörer av digitala tjänster måste vara mer enhetlig.  

Medlemsstaterna ska fastställa vilka leverantörer av samhällsviktiga tjänster som omfattas av skyldigheterna enligt direktivet, medan direktivet däremot ska gälla för alla leverantörer av digitala tjänster som omfattas av dess tillämpningsområde. Kommissionen kan också anta genomförandeakter för att harmonisera säkerhets- och rapporteringskraven för leverantörer av digitala tjänster. Medlemsstaterna får inte ålägga leverantörer av digitala tjänster mer långtgående skyldigheter än de som föreskrivs i direktivet.  

Rapporteringsskyldighet 

Medlemsstaterna ska säkerställa att leverantörer av samhällsviktiga tjänster utan onödigt dröjsmål till den behöriga myndigheten eller CSIRT-enheten rapporterar incidenter som har en betydande inverkan på kontinuiteten i de samhällsviktiga tjänster som de tillhandahåller. Med incident avses i direktivet en händelse med en faktisk negativ inverkan på säkerheten i nätverks- och informationssystem. 

Vidare ska medlemsstaterna ålägga leverantörer av digitala tjänster att till den nationella myndigheten rapportera alla incidenter som har en avsevärd inverkan på tillhandahållandet av en tjänst som avses i bilaga III till direktivet och som de erbjuder inom unionen. Rapporterna ska innehålla information som gör det möjligt för den behöriga myndigheten eller CSIRT-enheten att fastställa vilken betydelse eventuell gränsöverskridande inverkan har. 

2.2.2  2.2.2 Den internationella utvecklingen

I flera stater och i det internationella samarbetet har informationssäkerheten fått allt större utrymme i politiken under de senaste åren. Strategier för cybersäkerhet har utarbetats t.ex. i så gott som alla EU-medlemsstater, i USA, Australien, Nya Zeeland, Kanada, Japan och Indien. Prioriteringarna i strategierna och organiseringen av den cybersäkerhetsrelaterade myndighetsverksamheten varierar mellan staterna. I vissa stater är myndighetsverksamheten nära sammankopplad med försvarsförvaltningens eller underrättelsemyndigheternas verksamhet och i andra stater med de myndigheter som har tillsyn över kommunikationstjänster. I en del stater har uppgifter som relaterar till cybersäkerhet koncentrerats till en enda myndighet, medan andra stater har fördelat uppgifterna på flera olika myndigheter. 

Det nationella genomförandet av direktivet om nät- och informationssäkerhet pågår fortfarande i EU:s medlemsstater, och det kommer sannolikt att påverka utvecklingen av medlemsstaternas lagstiftning på ett betydande sätt. 

Tyskland 

I Tyskland offentliggjordes en nationell cybersäkerhetsstrategi år 2011. I strategin är skyddet av den kritiska infrastrukturen mot cyberintrång en central prioritering. I cybersäkerhetsstrategin anges som ett mål att bedöma möjligheterna att föreskriva om samarbete i lagstiftningen. I Tyskland har man sedan 2005 bedrivit tvärsektoriellt samarbete mellan den offentliga och den privata sektorn för att förebygga och förbereda sig för cyberintrång och dela information. Detta har skett inom ramen för den så kallade UP KRITIS-handlingsplanen. År 2014 utvidgades denna handlingsplan ytterligare. År 2015 trädde ”it-säkerhetslagen” (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, IT-Sicherheitsgesetz) i kraft och skapade en lagstiftningsram för samarbete enligt UP KRITIS-handlingsplanen mellan det offentliga och det privata för att förbättra informationssäkerheten i samhällskritiska tjänster. I lagen åläggs vissa aktörer inom den kritiska infrastrukturen att sörja för informationssäkerheten och rapportera incidenter till den övervakande myndigheten. Lagen ger också den övervakande myndigheten behörighet att förrätta inspektioner och påföra sanktioner. Lagen anger inte närmare vad de informationssäkerhetsrelaterade skyldigheterna omfattar, utan det är upp till aktörerna att definiera deras innehåll. Aktörerna ska dock kunna påvisa att nivån på informationssäkerheten är tillräcklig.  

Enligt den tyska it-säkerhetslagen är informationssäkerhetsmyndigheten BSI (Bundesamt für Sicherheit in der Informationstechnik, Federal Office for Information Security) behörig tillsynsmyndighet, och den ska även ta emot de rapporter om it-säkerhetsincidenter som avses i lagen. Behörig myndighet i fråga om telekommunikations- och energisektorn och delvis även post- och järnvägssektorn är emellertid BnetzA (Bundesnetzagentur). I egenskap av Tysklands nationella informationssäkerhetsmyndighet har BSI också många andra informationssäkerhetsrelaterade uppgifter. Till myndighetens uppgifter hör bl.a. att främja informationssäkerheten inom statsförvaltningen, att upprätthålla en lägesbild av informationssäkerheten, incidenthanteringsenheten CERT-Bunds verksamhet samt uppgifter som gäller standardisering och certifiering. 

Frankrike 

Frankrike har strävat efter att förbättra informationssäkerheten i samhällsviktiga funktioner som en del av regleringen om den kritiska infrastrukturen. Bestämmelser om informationssäkerhet togs in i den allmänna lagstiftningen om den kritiska infrastrukturen genom en lagändring 2013 (den s.k. CIIP-lagen, loi n° 2013-1168 du 18 décembre 2013). I lagen ingår bestämmelser om riskhanteringsskyldigheter och rapporteringsskyldigheter med anknytning till informationssäkerhet. Informationssäkerhetsincidenter enligt CIIP-lagen ska rapporteras till Frankrikes nationella cybersäkerhetsmyndighet (ANSSI, Agence nationale de la sécurité des systèmes d’information).  

CIIP-lagen preciseras av premiärministerns dekret (arrêté du Premier ministre) för varje sektor. Dekreten har beretts av ANSSI utifrån åtgärdsrekommendationer om samarbete mellan det offentliga och det privata. 

ANSSI lyder under den franska försvarsförvaltningen. ANSSI är en nationell myndighet för cyberförsvar och nät- och informationssäkerhet (decree n°2011-170) och finns i anslutning till försvars- och säkerhetsmyndigheten (Secrétariat général de la Défense et de la Sécurité nationale). I samband med ANSSI finns också landets incidenthanteringsenhet (CERT-FR). 

Frankrike kommer att lägga fram ett lagförslag om genomförandet av direktivet om nät- och informationssäkerhet under 2017.  

Sverige 

I Sverige finns ingen nationell lagstiftning som motsvarar direktivet om nät- och informationssäkerhet. I Sverige lämnade den utredare som svarade för beredningen av det nationella genomförandet av direktivet om nät- och informationssäkerhet sin rapport i början av 2017 (Informationssäkerhet för samhällsviktiga och digitala tjänster, Betänkande av Utredningen om genomförande av NIS-direktivet, SOU 2017:36). I rapporten finns åtgärder för genomförande av direktivet och ett förslag till nationell lagstiftning. Utredaren föreslår att det införs en helt ny lag och en kompletterande förordning om informationssäkerhet för samhällsviktiga tjänster i syfte att införliva direktivet om nät- och informationssäkerhet i den svenska lagstiftningen.  

I utredarens rapport förslås det att den nationella Myndigheten för samhällsskydd och beredskap (MSB) ska ges ansvaret att bedöma vilka tjänster som är att anse som samhällsviktiga och uppdatera förteckningen över dem. Enligt rapporten ska bedömningen göras med särskild hänsyn till hur en störning skulle påverka tillhandahållandet av tjänsten. 

I rapporten föreslås det att incidenter som avses i direktivet om nät- och informationssäkerhet ska rapporteras till MSB. I rapporten föreslås vidare att MSB ska anförtros rollen som nationell kontaktpunkt och CSIRT-enhet. MSB:s lagstadgade uppdrag omfattar dock inte bara cybersäkerhetsfrågor, utan också allmän säkerhet, skydd av civila samt organiseringsuppdrag vid nödlägen och undantagstillstånd. Därför föreslår rapporten att tillsynsmyndigheterna för varje sektor (Statens energimyndighet (energi), Transportstyrelsen (transporter), Finansinspektionen (bankverksamhet och finansmarknadsinfrastruktur), Inspektionen för vård och omsorg (hälso- och sjukvård), Livsmedelsverket (leverans och distribution av dricksvatten), Post- och telestyrelsen (digital infrastruktur och leverantörer av digitala tjänster) ska utses till behöriga tillsynsmyndigheter enligt direktivet. 

Storbritannien 

Regeringen i Storbritannien har offentliggjort en nationell cybersäkerhetsstrategi för åren 2016–2020. Som en av åtgärderna i strategin inrättades i Storbritannien en ny centraliserad cybersäkerhetsmyndighet vars uppgifter bl.a. är att förbättra informationssäkerheten i den kritiska infrastrukturen, undersöka informationssäkerhetsincidenter, informera om sårbarheter och främja den allmänna medvetenheten om informationssäkerhet (The National Cyber Security Centre). Cybersäkerhetscentret är en del av Förenade kungarikets underrättelse- och säkerhetstjänst GCHQ (Government Communications Headquarters), som bl.a. utför signalspaning för regeringens och arméns behov och ansvarar för informationssäkerheten. Vid cybersäkerhetscentret finns också landets incidenthanteringsenhet (CERT UK). I Storbritannien sköter även dataskyddsmyndigheten (Information Commissioner’s Office ICO) informationssäkerhetsrelaterade uppgifter med anknytning till dataskydd och elektronisk kommunikation.  

I Storbritannien finns ingen nationell lagstiftning som motsvarar direktivet om nät- och informationssäkerhet. Trots Storbritanniens utträde ur EU kommer direktivet sannolikt att införlivas i den nationella lagstiftningen. Storbritannien har i augusti 2017 inlett ett offentligt samråd om genomförande av direktivet. I en promemoria som publicerats som stöd för det offentliga samrådet (Security of Network and Information Systems, Public Consultation) fastställs preliminära riktlinjer för det nationella genomförandet. 

USA 

I USA finns ett flertal olika strategier som innehåller politiska och strategiska riktlinjer om cybersäkerhet. Även federala lagar och lagar, föreskrifter och praxis på delstatsnivå innehåller en del bestämmelser om informationssäkerhet. En del av lagstiftningen gäller vissa specifika funktioner medan andra sträcker sig över flera olika samhällssektorer (t.ex. skyldigheten att rapportera informationssäkerhetsincidenter). Det finns också informationssäkerhetsrelaterad myndighetsverksamhet på både federal nivå och delstatsnivå. Trots den gällande lagstiftningen finns det på federal nivå inga egentliga bestämmelser om informationssäkerhetsrelaterade skyldigheter för samhällsviktiga aktörer. I stället har man strävat efter att förbättra informationssäkerheten i samhällsviktiga tjänster i samarbete med företagen. Det nationella institutet för standarder och teknik (National Institute of Standards and Technology, NIST) har tagit fram en rekommendation för att förbättra informationssäkerheten i kritisk infrastruktur (Framework for Improving Critical Infrastructure Cybersecurity, 2014). Rekommendationen innehåller konkreta åtgärdsförslag som gäller riskhantering samt anvisningar som grundar sig på gällande informationssäkerhetsstandarder. Utarbetandet av rekommendationen hade ett nära samband med ett presidentdekret av president Obama (Executive order 13636 – Improving Critical Infrastructure Cybersecurity), som medför skyldigheter för statliga ämbetsverk att t.ex. utveckla ett teknikneutralt och frivilligt cybersäkerhetsramverk, att främja och uppmuntra införandet av cybersäkra rutiner, att öka och förbättra informationsdelningen om cybersäkerhetshot och se till att den sker i god tid, att inkludera ett starkt skydd för privatliv och medborgerliga rättigheter i alla initiativ och projekt samt att skydda kritisk infrastruktur och undersöka hur den gällande regleringen kan utnyttjas för att främja cybersäkerheten.  

2.3.1  2.3.1 Informationssäkerhetsstrategin

Direktivet om nät- och informationssäkerhet förutsätter att varje medlemsstat utarbetar en nationell strategi som anger ramarna, visionen, målen och prioriteringarna för nät- och informationssäkerhet på nationell nivå.  

I informationssäkerhetsstrategin, som godkändes av kommunikationsministeriet i mars 2016, betonas att utgångspunkten enligt rättsordningen i Finland kan anses vara att ramarna, målen och prioriteringarna för nät- och informationssäkerheten i första hand ska fastställas i den gällande lagstiftningen. Enligt rättsstatsprincipen i grundlagen ska all utövning av offentlig makt bygga på lag. Även det myndighetsansvar som gäller informationssäkerhet ska bygga på lagstiftning. I strategin anges mål för att säkerställa lagstiftningens kvalitet till den del som lagstiftningen kan påverka nät- och informationssäkerheten och därmed framväxten av en tillväxtmiljö för digital affärsverksamhet. Åtgärderna ska genomföras av de myndigheter och andra aktörer som åläggs ansvaret i strategin. Ansvarsfördelningen grundar sig på den gällande lagstiftningen om myndigheternas befogenheter. Genom strategin genomförs artikel 7 i direktivet om nät- och informationssäkerhet. 

2.3.2  2.3.2 Åtgärder till följd av it-säkerhetsincidenter och undersökning av dem

För att kunna vidta åtgärder till följd av it-säkerhetsincidenter och undersöka dem har Kommunikationsverket ett omfattande uppdrag enligt informationssamhällsbalken. 

Uppgifterna för CSIRT-enheter enligt artikel 9 i direktivet om nät- och informationssäkerhet ingår i princip i Kommunikationsverkets uppgifter enligt informationssamhällsbalken. De nuvarande uppgifterna för Kommunikationsverkets CERT-enhet motsvarar till stor del en CSIRT-enhets uppgifter, men de begränsas inte enbart till tillämpningsområdet för direktivet om nät- och informationssäkerhet. CERT-enheten tillhandahåller hjälp för hantering av it-säkerhetsincidenter för alla finländare, personer bosatta i Finland och juridiska personer med verksamhet i Finland. Vem som helst kan underrätta Kommunikationsverket om it-säkerhetsincidenter eller hot om sådana som riktar sig mot Finland eller finländarna. Dessutom är Kommunikationsverket på uppdrag av finansministeriet Finlands GovCERT, dvs. den myndighet som hanterar it-säkerhetsincidenter och hot som riktar sig mot statsförvaltningen. Med hjälp av finansiering från Försörjningsberedskapscentralen tillhandahåller Kommunikationsverket dessutom CERT-tjänster för företag som är etablerade i Finland och som är kritiska för försörjningsberedskapen.  

Kommunikationsverkets verksamhet uppfyller redan i dagsläget de krav som ställs på CSIRT-enheter i artikel 9 och bilaga I till direktivet om nät- och informationssäkerhet, inklusive förmågan att vidta åtgärder mot incidenter dygnet runt, analysera incidenter, skapa en lägesbild, ge tidiga varningar och sprida information om informationssäkerhetsrisker. Kommunikationsverket har också aktiva relationer med den privata sektorn. Relationerna bygger på frivillighet och konfidentiellt samarbete. Kommunikationsverket kan i syfte att upprätthålla informationssäkerheten erbjuda tjänsteleverantörerna stöd för att identifiera incidenter samt ge dem information om återhämtning efter incidenter och varningar om risker. Verket erbjuder också möjligheter till nätverksbildning med andra aktörers it-säkerhetsexperter. Rapporteringen av incidenter och utbytet av information grundar sig på ömsesidigt förtroende mellan aktörerna och analyserna av informationen på aktörernas samtycke. Kommunikationsverket har dessutom välfungerande kontakter med CSIRT- eller CERT-enheterna i de övriga EU-länderna.  

De gemensamma kontaktpunkterna enligt artikel 8 i direktivet ska utöva en sambandsfunktion för att säkerställa gränsöverskridande samarbete mellan medlemsstaternas myndigheter.  

Det är ändamålsenligt att den gemensamma kontaktpunkten finns i samband med CSIRT-enheten vid Kommunikationsverket.  

Även om de myndighetsuppgifter som beskrivs ovan i princip redan ingår i Kommunikationsverkets nuvarande lagstadgade uppgifter i och med det breda tillämpningsområdet för direktivet om nät- och informationssäkerhet, bör man precisera Kommunikationsverkets rätt att samarbeta med andra myndigheter och i direktivet avsedda samarbetsorgan. 

2.3.3  2.3.3 Samhällsviktiga tjänster och leverantörer av samhällsviktiga tjänster

Enligt direktivet om nät- och informationssäkerhet ska medlemsstaterna för varje sektor och delsektor som hör till direktivets tillämpningsområde identifiera de leverantörer av samhällsviktiga tjänster som är etablerade på deras territorium. De sektorer och delsektorer som ingår i direktivets tillämpningsområde definieras i bilaga II till direktivet.  

I direktivets artikel 5 anges kriterierna för identifiering av leverantörer av samhällsviktiga tjänster. Enligt direktivet ska leverantörer av samhällsviktiga tjänster tillhandahålla tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Denna tjänst ska vara beroende av nätverks- och informationssystem. Ett ytterligare kriterium är att en incident i tjänsten skulle medföra en betydande störning enligt artikel 6 vid tillhandahållandet av tjänsten. Direktivet ger medlemsstaterna ett avsevärt handlingsutrymme när det gäller att definiera vilka tjänster som är samhällsviktiga.  

Enligt ingressen till direktivet kan leverantörer av samhällsviktiga tjänster identifieras genom att anta en förteckning över samhällsviktiga tjänster eller genom att anta nationella åtgärder som gör det möjligt att fastställa vilka enheter som omfattas av skyldigheter när det gäller säkerhet i nätverks- och informationssystem. 

Såsom det konstaterats i beskrivningen av nuläget har begreppen kritisk infrastruktur eller samhällsviktiga funktioner inte definierats på lagstiftningsnivå i Finland, och den gällande lagstiftningen innehåller inga egentliga förfaranden enligt vilka t.ex. myndigheter som utövar övervakning och tillsyn direkt skulle kunna identifiera sådana leverantörer av samhällsviktiga tjänster som avses i direktivet om nät- och informationssäkerhet. Med beaktande av befintliga administrativa strukturer och gällande lagstiftning är det naturligast att identifieringen av leverantörer av samhällsviktiga tjänster sker i samband med införandet av den lagstiftning som genomför direktivet om nät- och informationssäkerhet. 

Enligt direktivet om nät- och informationssäkerhet ska en leverantör av samhällsviktiga tjänster tillhandahålla en tjänst som är viktig för samhällets funktion. Enligt direktivet får medlemsstaterna avgöra vilka tjänster och leverantörer som är viktiga.  

Identifieringen av vilka tjänster som är samhällsviktiga inom varje sektor och delsektor som anges i direktivet är beroende av sektorsspecifika särdrag. Graden av väsentlighet beror bl.a. på hur viktiga tjänsterna är för medborgare och företag, hur beroende industrin är av tjänsterna och hur många olika konkurrerande tjänster som finns tillgängliga på marknaden. Samhällsviktiga tjänster kan bestå av en bredare uppsättning tjänster än de som är kritiska med avseende på försörjningsberedskapen eller hör till den kritiska infrastrukturen. 

Enligt direktivet ska en samhällsviktig tjänst dessutom vara beroende av nätverks- och informationssystem. Enligt direktivet får medlemsstaterna även här bedöma graden av beroende. Vid bedömningen bör medlemsstaterna beakta på vilket sätt tjänsten tillhandahålls. Utgångsantagandet är att en stor del av tjänsterna i dagsläget på ett eller annat sätt är beroende av kommunikationsnät och informationssystem.  

Ett ytterligare kriterium enligt direktivet är att en incident i tjänsten skulle medföra en betydande störning vid tillhandahållandet av tjänsten. Enligt direktivet ska medlemsstaterna när de bedömer om en störning är betydande beakta det antal användare som är beroende av tjänsten, hur beroende andra samhällsviktiga tjänster är av den tjänst som aktören tillhandahåller, vilken inverkan incidenter skulle kunna ha på ekonomisk och samhällelig verksamhet eller allmän säkerhet, aktörens marknadsandel, hur stort geografiskt område som skulle kunna påverkas av en incident samt tillgången till alternativa sätt för att tillhandahålla tjänsten. De skyldigheter som räknas upp i direktivet är sådana att de bör bedömas nationellt med avseende på varje sektor och tjänst.  

Kommunikationsministeriet tillsatte i oktober 2016 en tvärsektoriell arbetsgrupp för att stödja det nationella genomförandet av direktivet om nät- och informationssäkerhet. Arbetsgruppen föreslog i sin slutrapport att leverantörerna av samhällsviktiga tjänster enligt direktivet ska fastställas på lagnivå. För att man ska kunna specificera vilka som omfattas av skyldigheterna bör man bedöma vilka tjänster som på nationell nivå ska betraktas som viktiga för att upprätthålla samhällelig verksamhet enligt direktivet, inom de sektorer som hör till direktivets tillämpningsområde. Därefter bör man undersöka om leverantörerna av dessa tjänster redan med stöd av den gällande lagstiftningen är skyldiga att sörja för att informationssäkerheten är på minst samma nivå som förutsätts i direktivet. Om svaret är ja behöver nya skyldigheter inte föreskrivas. I fråga om de tjänster vars leverantörer i ljuset av direktivet inte har ålagts tillräckliga skyldigheter i den gällande lagstiftningen ska denna identifiering däremot göras som en del av införandet av nya skyldigheter.  

Energi 

Enligt direktivet om nät- och informationssäkerhet ska leverantörer av samhällsviktiga tjänster identifieras inom sektorn energi och delsektorerna elektricitet, olja och gas.  

Samhällets funktion är i dag ytterst beroende av olika elektriska system. Så gott som alla samhällsviktiga tjänster behöver också el för att kunna produceras. Eldistributionen har en så betydande roll när det gäller tillhandahållandet av samhällsviktiga tjänster och deras kontinuitet att den alltid bör betraktas som en väsentlig tjänst för kunderna oberoende av t.ex. distributionsnätets storlek.  

Elnätet i Finland omfattar stamnätet, lokalnäten och distributionsnäten. I stamnätet överförs el från produktionsområdena och utlandet till förbrukningscentrum. Merparten av den el som förbrukas i Finland överförs via stamnätet. En del av de kraftverk som producerar el är anslutna direkt till stamnätet. Detsamma gäller stora förbrukare såsom stora fabriker. Kraftverk kan också vara anslutna till region- eller distributionsnätet. Exempelvis får elektrifierade banavsnitt och Helsingfors-Vanda flygplats sin ström från stamnätet. I Finland finns 77 innehavare av eldistributionsnät och 11 innehavare av högspänningsdistributionsnät. Systemansvarig stamnätsinnehavare är Fingrid Oyj.  

I fråga om eldistribution kan som sådana i artikel 5.2 i direktivet avsedda tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet i princip betraktas 

1) överföringstjänster i stamnätet och systemtjänster som tillhandahålls av den systemansvariga stamnätsinnehavaren, 

2) eldistribution i distributionsnät, dock inte eldistribution i slutna distributionsnät,  

3) eldistribution i högspänningsdistributionsnät, dock inte eldistribution i slutna distributionsnät. 

Inom delsektorn gas är naturgas en betydande komponent i energiförbrukningen i Finland. Naturgas utgör cirka åtta procent av Finlands energiförsörjning. Naturgas används särskilt för samproduktion av fjärrvärme och el. Ett annat viktigt användningsområde för naturgas är industriella tillverkningsprocesser. År 2016 användes 23,8 terawattimmar naturgas i Finland. 

För användningen av naturgas är det väsentligt att överföringen av naturgas och överföringsnätet fungerar störningsfritt. Överföringstjänster i överföringsnätet och systemtjänster som tillhandahålls av den systemansvariga stamnätsinnehavaren i enlighet med naturgasmarknadslagen kan därför i princip betraktas som sådana i artikel 5.2 i direktivet avsedda tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. 

Inom delsektorn olja har det inte identifierats några viktiga tjänster eller tillhandahållare av sådana som uppfyller kriterierna i direktivet.  

Transporter 

Tjänster inom sektorn transporter kan grovt taget delas in i tre nivåer; trafikledningstjänster, förvaltning av viktig infrastruktur samt tillhandahållande av trafiktjänster. Tjänsternas karaktär varierar inom olika nivåer av trafiksystemet.  

Trafikledningstjänster 

Trafikledning är en väsentlig del av ett fungerande trafiksystem och påverkar direkt säkerheten i hela trafiksystemet. Störningar i trafikledningen kan direkt leda till att trafiksäkerheten äventyras eller att trafiken avbryts. Dessutom är trafikledningsfunktionerna beroende av ett fåtal aktörer. Trafikledningen kommer framöver att få allt större betydelse för trafiksystemets funktion och säkerhet då intelligent automatisering av trafiken blir vanligare.  

Inom luftfarten är det flygtrafiktjänsten som svarar för trafikledningen. Med flygtrafiktjänst avses enligt 160 § i luftfartslagen flygtrafiklednings-, kommunikations-, navigations- och övervakningstjänst, flygvädertjänst och flygbriefingtjänst. I Finland tillhandahålls flygtrafiktjänster av bolaget Air Navigation Services Finland Oy (ANS Finland), som ägs helt av staten. ANS Finland ansvarar för specialtjänster som hänför sig till flygtrafiktjänsten, såsom luftrumsplanering, områdeskontroll, tjänster för statlig luftfart och flygräddning. Statsrådet har utsett Meteorologiska institutet till nationell leverantör av flygvädertjänster enligt 108 § i luftfartslagen. 

Enligt 36 § i järnvägslagen ansvarar bannätsförvaltaren för ledningen av järnvägstrafiken på sitt bannät. Förvaltaren kan ordna trafikledningstjänsterna själv eller upphandla dem hos offentliga eller privata serviceproducenter. Trafikverket ansvarar för övervakningen och samordningen av den operativa verksamheten i samband med ledningen av järnvägstrafiken. Den operativa ledningen av järnvägstrafiken köps från Finrail Oy. 

Inom sjötrafiken ansvarar fartygstrafikservicen för trafikledningen. Enligt lagen om fartygstrafikservice avses med fartygstrafikservice (Vessel Traffic Service, VTS) sådan övervakning och ledning av fartygstrafiken som har beredskap att samverka med trafiken och reagera på föränderliga trafiksituationer. VTS-myndigheten har hand om fartygstrafikservicen. Trafikverket är VTS-myndighet enligt lagen om fartygstrafikservice. 

Inom vägtrafiken har trafikledningen delvis en annorlunda roll än inom övriga trafikformer. Åtminstone tills vidare leds trafiken i betydande utsträckning genom trafikregler och sådana trafikanordningar som inte är beroende av kommunikationsnät och informationssystem (vägmarkeringar, vägmärken).  

I princip kan trafikledningstjänster betraktas som sådana i artikel 5.2 i direktivet avsedda tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Här är det således flygtrafiktjänster, ledning av järnvägstrafik och fartygstrafikservice som betraktas som viktiga tjänster. Ledning av vägtrafiken ska tills vidare inte betraktas som en samhällsviktig tjänst enligt direktivet om nät- och informationssäkerhet. När den intelligenta automatiseringen av trafiken utvecklas bör detta dock bedömas på nytt. 

Förvaltning av viktig infrastruktur 

Förutom av trafikledning är tillhandahållandet av ett flertal trafiktjänster beroende av viktig trafikinfrastruktur och det är sällan möjligt att tillhandahålla trafiktjänsterna på ett alternativt sätt om den viktiga infrastrukturen är ur bruk. Den viktiga trafikinfrastrukturen omfattar särskilt flygplatser, hamnar, järnvägar och vägnätet.  

Flygplatserna har en betydande ställning i Finland när det gäller passagerartrafiken, och antalet flygpassagerare ökar hela tiden. År 2016 översteg antalet flygpassagerare i Finland 16 miljoner. Finavias flygplatser hade åtta procent fler passagerare än året innan. Mängden godstrafik på Finavias flygplatser uppgick till sammanlagt 183 442 ton år 2016. Flygfrakten står för cirka tio procent av utrikeshandelns värde.  

På flygplatserna tillhandahålls tjänsterna av flera olika leverantörer. Det är dock flygplatsoperatören, som ansvarar för förvaltningen av flygplatsen, som har den viktigaste rollen när det gäller underhåll av infrastrukturen. I luftfartslagen föreskrivs om förutsättningarna för beviljande av intyg över godkännande av trafikflygplats. Flygplatsoperatören ansvarar också för exempelvis genomförandet av de åtgärder och arrangemang som förutsätts på flygplatsen för luftfartsskyddet. Flygplatsoperatören har också skyldigheter med avseende på beredskap. 

Förutom flygplatser omfattar den viktiga infrastrukturen även hamnar. År 2014 gick 96 miljoner ton av utrikeshandelns transporter som sjötransporter och cirka 11 miljoner ton som landtransporter. Räknat i tonkilometer skickas 96 procent av alla godstransporter inom Finlands utrikeshandel som sjötransporter. Näringslivet och hela det övriga samhället är således ytterst beroende av hamnarnas funktion. Precis som på flygplatserna tillhandahålls tjänster i hamnarna av flera olika leverantörer. Hamninnehavarna ansvarar för driften av hamnar och hamnanläggningar. Bestämmelser om hamninnehavarens ansvar finns i lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet.  

Även järnvägarna är viktiga för både person- och godstransporter. År 2016 uppgick antalet passagerare på järnvägarna till cirka 82 miljoner. Antalet godstransporter på järnvägarna uppgick år 2014 till 37 miljoner ton och transportarbetet uppgick till cirka 9,6 miljarder tonkilometer. Bannätsförvaltaren ska förvalta, utveckla och underhålla bannätet. Med statlig bannätsförvaltare avses enligt järnvägslagen Trafikverket. Med privat spåranläggning avses en spåranläggning som inte är statsägd och inte förvaltas av Trafikverket. Dessa spåranläggningar kan förvaltas av t.ex. kommuner, hamnar eller företag. Privata spåranläggningar kan i sig vara viktiga för t.ex. vissa industrianläggningar eller hamnar. Förvaltningen av dem är emellertid inte samhällsviktig verksamhet på samma sätt som i fråga om statliga järnvägar. 

Även vägnätet är en viktig del av trafikinfrastrukturen. Väsentligt vid förvaltningen av vägnätet med avseende på informationssäkerheten är framför allt de digitala informationssystem som anknyter till väginfrastrukturen. Sådana informationssystem är i synnerhet ITS-system enligt ITS-direktivet. I Finland har ITS-direktivet införlivats i lagen om transportservice. Bestämmelser om införande av intelligenta transportsystem finns i III avd. 2 kap. 6 § i lagen om transportservice. För närvarande kan nödsamtalssystemet eCall och Trafikverkets tjänster Digiroad (väg- och gatuinformation) och Digitraffic (trafikinformation) betraktas som intelligenta trafiksystem enligt ITS-direktivet. Systemet eCall förvaltas av Nödcentralsverket. 

Digiroad är ett nationellt informationssystem som förvaltas av Trafikverket och som innehåller samlade uppgifter om hela det finländska väg- och gatunätets mittlinjesgeometri och om vägnätets viktigaste egenskaper. Digiroad visar en beskrivning av trafiknätet i digital form. Digitraffic är Trafikverkets tjänst som ger aktuell trafikinformation om vägnätet, järnvägs- och sjötrafiken i Finland.  

I princip kan förvaltning av den viktiga trafikinfrastrukturen betraktas som en sådan i artikel 5.2 i direktivet avsedd tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Här är det således förvaltningen av flygplatser, hamnar och statens bannät samt förvaltningen av ITS-system enligt ITS-direktivet som betraktas som viktiga tjänster. 

Trafiktjänster 

Inom transportområdet tillhandahålls förutom trafikledning och trafikinfrastruktur många slags trafiktjänster (t.ex. av lufttrafikföretag, rederier, järnvägsoperatörer). Trafiktjänster är emellertid samhällsviktiga i ett annat avseende än de ovan beskrivna tjänster som gäller trafikledning och förvaltning av infrastruktur. Trafiktjänster kan tillhandahållas av flera konkurrerande aktörer. Dessutom kan det finnas alternativa sätt att ordna tjänsten. Även om det i fråga om vissa transportslag är ett fåtal eller rentav bara en aktör som tillhandahåller inhemska tjänster (t.ex. flygtrafiken och järnvägstrafiken), finns det ändå i regel alternativa sätt att ordna tjänsten tack vare antingen internationell konkurrens eller alternativa transportformer. Trafiktjänsterna håller i ökande grad på att bli mer internationella. Exempelvis inom luftfarten har detta redan lett till en strävan att reglera det globala gemensamma luftfartssystemet genom harmoniserade internationella regler. När det gäller dem som tillhandahåller trafiktjänster bör följaktligen även informationssäkerheten framöver utvecklas på ett mer fokuserat och enhetligt sätt, som en del av beredningen av internationella avtalsförpliktelser och EU-rättsakter. På så sätt skulle man kunna undvika eventuella störningar i trafiksystemets funktion, säkerhet och nationella konkurrensvillkor som beror på skillnader i den internationella regleringen.  

Bankverksamhet och finansmarknadsinfrastruktur 

För sektorerna bankverksamhet och finansmarknadsinfrastruktur anges i bilaga II till direktivet om nät- och informationssäkerhet inga delsektorer inom vilka samhällsviktiga tjänster enligt direktivet bör identifieras. I bilagan till direktivet anges som typer av enheter kreditinstitut, operatörer av handelsplatser enligt definitionen i artikel 4.24 i Europaparlamentets och rådets direktiv 2014/65/EU samt centrala motparter. Inom sektorerna bankverksamhet och finansmarknadsinfrastruktur betraktas i Finland kreditinstitutsverksamhet enligt kreditinstitutslagen och börsverksamhet enligt lagen om handel med finansiella instrument som sådana i artikel 5.2 i direktivet avsedda tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. I Finland finns inga centrala motparter som hör till direktivets tillämpningsområde. 

Hälso- och sjukvårdssektorn 

Syftet med hälso- och sjukvården är att främja och upprätthålla befolkningens hälsa, välfärd, arbets- och funktionsförmåga och sociala trygghet och att minska hälsoskillnader. Det är väsentligt för samhällets funktion att hälso- och sjukvården fungerar utan störningar och avbrott. Tjänsteleverantörer inom hälso- och sjukvårdsområdet är de som tillhandahåller offentliga och privata socialvårdstjänster och hälso- och sjukvårdstjänster. Ur ett informationssäkerhetsperspektiv skulle informationssäkerhetsrelaterade störningar i sådana system som behandlar patienternas klientuppgifter eller som ingår i produkter som används inom hälso- och sjukvården kunna ha de största negativa konsekvenserna för samhället. Därför ska elektronisk behandling av klientuppgifter inom hälsovården och underhåll och användning av produkter för hälso- och sjukvård vid tillhandahållandet av offentliga och privata tjänster inom social- och hälsovården anses vara sådana i artikel 5.2 i direktivet avsedda tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. 

Leverans och distribution av dricksvatten 

Fungerande vattentjänster har en avgörande betydelse för samhällets grundläggande funktioner. Vattentjänsterna hör vid sidan av elförsörjningen till de viktigaste tjänsterna i samhället, och de bör fungera under alla omständigheter. Vattentjänsterna har stor betydelse i synnerhet för hushållens dricksvatten och inom hygienhanteringen, hälso- och sjukvården, livsmedelsindustrin och den övriga industrin. 

Vattentjänstverken sköter ett samhälles vattentjänster. Vattentjänster ska betraktas som sådana i artikel 5.2 i direktivet avsedda tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. 

Digital infrastruktur 

Ett teleföretag enligt informationssamhällsbalken är en aktör som tillhandahåller nättjänster eller kommunikationstjänster för en grupp av användare som inte har avgränsats på förhand, dvs. bedriver allmän televerksamhet. Definitionen av teleföretag är bred och omfattar de viktigaste funktionerna inom den digitala infrastrukturen, inklusive internetknutpunkter, åtminstone i den mån de används för att koppla samman allmänna kommunikationsnät, samt tillhandahållande av domännamnssystem när verksamheten hänför sig till internetaccesstjänster.  

Även om allmän televerksamhet inom området digital infrastruktur skulle kunna betraktas som en samhällsviktig tjänst omfattas teleföretagen i regel inte av skyldigheterna enligt direktivet om nät- och informationssäkerhet. Dessutom finns det redan bestämmelser om teleföretagens hantering av informationssäkerhetsrisker och skyldigheten att rapportera störningar i informationssamhällsbalken. 

Vid sidan av allmän televerksamhet kan även förvaltning av toppdomänregister anses vara viktigt för den digitala infrastrukturen. I Finland är det fråga om registret för toppdomänerna fi och ax. Förvaltning av toppdomänregister kan i princip betraktas som en sådan i artikel 5.2 i direktivet avsedd tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. 

2.3.4  2.3.4 Krav som gäller tjänsteleverantörernas verksamhet med avseende på informationssäkerhetsrisker och rapportering

Energi 

Inom delsektorn elektricitet har som sådana samhällsviktiga tjänster som avses i artikel 5.2 i direktivet ovan identifierats  

1) överföringstjänster i stamnätet och systemtjänster som tillhandahålls av den systemansvariga stamnätsinnehavaren 

2) eldistribution i distributionsnät, dock inte eldistribution i slutna distributionsnät  

3) eldistribution i högspänningsdistributionsnät, dock inte eldistribution i slutna distributionsnät 

Enligt artikel 5 i direktivet ska tillhandahållandet av en samhällsviktig tjänst som avses i direktivet även vara beroende av nätverks- och informationssystem. Ett ytterligare kriterium är att en incident i tjänsten skulle medföra en betydande störning vid tillhandahållandet av tjänsten. Eldistribution kan i princip alltid anses vara beroende av nätverks- och informationssystem, eftersom elnäten i dag är långt automatiserade system vars funktionssäkerhet har en väsentlig betydelse för att tillgången till energi ska tryggas. Informationssäkerhetsrelaterade störningar i eldistributionen kan få betydande negativa konsekvenser, inte bara för eldistributionen utan också för tillhandahållandet av andra samhällsviktiga tjänster. Konsekvenserna kan vara betydande oberoende av distributionsnätets storlek. Inom delsektorn elektricitet kan således den systemansvariga stamnätsinnehavaren och eventuella andra stamnätsinnehavare, alla distributionsnätsinnehavare oavsett storlek samt innehavare av högspänningsdistributionsnät, dock inte slutna distributionsnät, betraktas som leverantörer av samhällsviktiga tjänster enligt direktivet. 

Inom delsektorn naturgas har i naturgasmarknadslagen avsedda överföringstjänster i överföringsnätet och systemtjänster som tillhandahålls av den systemansvariga stamnätsinnehavaren ovan betraktats som sådana samhällsviktiga tjänster som avses i direktivet. Dessa tjänster är i princip alltid beroende av nätverks- och informationssystem, eftersom naturgasnäten i dag är långt automatiserade system vars funktionssäkerhet har en väsentlig betydelse för att tillgången till energi ska tryggas. Dessutom skulle betydande störningar i dessa tjänsters informationssäkerhet kunna få omfattande negativa konsekvenser för kontinuiteten i överföringen av naturgas. Som leverantörer av samhällsviktiga tjänster enligt direktivet om nät- och informationssäkerhet kan således betraktas den systemansvariga överföringsnätsinnehavaren och eventuella andra överföringsnätsinnehavare. 

Även om vissa riskhanteringsrelaterade skyldigheter ingår i elmarknadslagen och naturgasmarknadslagen finns det inga bestämmelser om skyldigheten för de leverantörer som definieras ovan att hantera risker som riktar sig mot kommunikationsnät och informationssystem. Lagarna innehåller inte heller bestämmelser om rapportering av störningar, bortsett från det som föreskrivs i elmarknadslagens 59 § om information till användarna. Därför bör det i elmarknadslagen och naturgasmarknadslagen tas in bestämmelser som ålägger leverantörer av samhällsviktiga tjänster att sörja för hanteringen av risker i samband med kommunikationsnät och informationssystem samt att rapportera betydande störningar i systemens informationssäkerhet till Energimyndigheten.  

Transporter 

Inom transportområdet har följande tjänster ovan definierats som sådana samhällsviktiga tjänster som avses i artikel 5.2 a i direktivet om nät- och informationssäkerhet:  

1) flygtrafiktjänster, 

2) trafikledningstjänster för järnvägstrafik,  

3) fartygstrafikservice, 

4) flygplatsförvaltning, 

5) förvaltning av statens bannät, 

6) hamnförvaltning, och 

7) förvaltning av ett sådant ITS-system som avses i ITS-direktivet. 

Flygtrafiktjänster, trafikledningstjänster för järnvägstrafik, fartygstrafikservice, förvaltning av statens bannät och förvaltning av sådana ITS-system som avses i ITS-direktivet kan i princip alltid anses vara beroende av nätverks- och informationssystem. Betydande störningar i dessa tjänsters informationssäkerhet kan få omfattande negativa konsekvenser för trafiksystemens säkerhet och kontinuitet. Därför ska alla leverantörer av dessa tjänster anses vara sådana leverantörer av samhällsviktiga tjänster som avses i direktivet om nät- och informationssäkerhet. 

Förvaltningen av flygplatser och hamnar avviker till viss del från ovannämnda tjänster. Storleken på flygplatserna och hamnarna varierar. Därför varierar också deras beroende av nätverks- och informationssystem liksom hur stora konsekvenser en störning i informationssäkerheten kan få för tillgången till samhällsviktiga tjänster. Exempelvis hanterar de tio största hamnarna cirka 80 procent av sjötransporternas totala volym. Störningar som drabbar dessa hamnar kan få betydligt större konsekvenser är störningar som drabbar mindre hamnar. Därför bör inte alla hamninnehavare eller flygplatsoperatörer anses vara sådana leverantörer av samhällsviktiga tjänster som avses i direktivet om nät- och informationssäkerhet. Bedömningen av vem som ska omfattas av skyldigheterna bör framför allt göras med beaktande av kriterierna i artikel 6 i direktivet. Genom förordning av statsrådet kan det utfärdas närmare bestämmelser om hur skyldigheterna ska riktas till de leverantörer av samhällsviktiga tjänster som avses i direktivet. 

Inom transportområdet kan således följande aktörer anses vara sådana leverantörer av samhällsviktiga tjänster som avses i direktivet om nät- och informationssäkerhet: 

- leverantörer av flygtrafiktjänster,  

- bolag som tillhandahåller trafikledningstjänster för järnvägstrafik och förvaltaren av statens bannät, 

- leverantörer av fartygstrafikservice, 

- förvaltare av sådana ITS-system som avses i III avd. 2 kap. 6 § i lagen om transportservice,  

- innehavare av samhällsviktiga hamnar (fastställs genom förordning av statsrådet), 

- operatörer av samhällsviktiga flygplatser (fastställs genom förordning av statsrådet). 

Även om den lagstiftning som reglerar riskhanteringen för leverantörer av samhällsviktiga transporttjänster i sig också kan anses innehålla skyldigheter som tangerar kommunikationsnätens och informationssystemens säkerhet, ingår det inte i de gällande lagarna om de olika transportslagen några egentliga skyldigheter att sörja för hanteringen av säkerhetsrisker i samband med kommunikationsnät och informationssystem. Om informationssäkerheten äventyras kan även trafiksäkerheten eller de samhällsviktiga tjänsternas kontinuitet äventyras. Därför bör skyldigheterna att hantera risker i samband med kommunikationsnät och informationssystem och att till Trafiksäkerhetsverket anmäla betydande störningar i ett systems informationssäkerhet införas i luftfartslagen, i fråga om leverantörer av  

-flygtrafiktjänster och flygplatsoperatörer,  

-järnvägslagen, i fråga om bolag som tillhandahåller trafikledningstjänster för järnvägstrafik och förvaltaren av statens bannät, 

- lagen om fartygstrafikservice, i fråga om leverantörer av fartygstrafikservice, 

- lagen om sjöfartsskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet, i fråga om hamninnehavare, 

- lagen om transportservice, i fråga om förvaltare av sådana ITS-system som avses i III avd. 2 kap. 6 § i lagen i fråga. 

Bankverksamhet och finansmarknadsinfrastruktur 

Såsom ovan konstaterats utgörs inom sektorn bankverksamhet och finansmarknadsinfrastruktur sådana samhällsviktiga tjänster som avses i artikel 5.2 a i direktivet om nät- och informationssäkerhet av kreditinstitutsverksamhet enligt kreditinstitutslagen och börsverksamhet enligt lagen om handel med finansiella instrument.  

I kreditinstitutslagen finns heltäckande bestämmelser om skyldigheter som gäller den operativa riskhanteringen i samband med kreditinstitutverksamhet. Dessa skyldigheter har dessutom kompletterats med Finansinspektionens föreskrifter om hantering av operativa risker. Både i fråga om de skyldigheter som gäller riskhantering och de skyldigheter som gäller rapportering av störningar kan det anses att ovannämnda skyldigheter direkt uppfyller de krav i artikel 14 i direktivet som gäller säkerhet i nätverks- och informationssystem som används av leverantörer av samhällsviktiga tjänster. Dessa krav omfattar alla kreditinstitut med verksamhet i Finland.  

Börsverksamhet kan anses vara beroende av nätverks- och informationssystem på det sätt som avses i direktivet om nät- och informationssäkerhet. Dessutom kan informationssäkerhetsrelaterade störningar som drabbar verksamheten få omfattande negativa konsekvenser för börsverksamheten. När det gäller finansmarknadsinfrastrukturer ska börsen därför anses vara en sådan leverantör av samhällsviktiga tjänster som avses i artikel 5 i direktivet. 

När det gäller bedrivande av börsverksamhet ingår i 3 kap. (1 och 2.2 §) i regeringens proposition till riksdagen med förslag till lag om ändring av lagen om investeringstjänster, lag om handel med finansiella instrument och vissa lagar i samband med dem (RP 151/2017 rd) av den 26 oktober 2017 bestämmelser om riskhanteringskrav och rapportering av störningar. Skyldigheterna uppfyller de krav i artikel 14 i direktivet som gäller säkerhet i nätverks- och informationssystem som används av leverantörer av samhällsviktiga tjänster.  

Hälso- och sjukvårdssektorn 

Inom hälso- och sjukvårdssektorn utgörs sådana samhällsviktiga tjänster som avses i artikel 5.2 a i direktivet om nät- och informationssäkerhet av elektronisk behandling av klientuppgifter inom hälsovården och av underhåll och användning av produkter för hälso- och sjukvård vid tillhandahållandet av offentliga och privata tjänster inom social- och hälsovården. 

I lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården och i lagen om produkter och utrustning för hälso- och sjukvård ingår informationssäkerhetsrelaterade skyldigheter i fråga om system som används för behandling av klientuppgifter, krav som gäller produkter för hälso- och sjukvård samt skyldigheter att anmäla störningar till tillsynsmyndigheten. Både i fråga om de skyldigheter som gäller riskhantering och de skyldigheter som gäller rapportering av störningar kan det anses att ovannämnda skyldigheter uppfyller de krav i artikel 14 i direktivet som gäller säkerhet i nätverks- och informationssystem som används av leverantörer av samhällsviktiga tjänster.  

Leverans och distribution av dricksvatten 

Inom leverans och distribution av dricksvatten kan vattentjänster anses vara sådana samhällsviktiga tjänster som avses i artikel 5.2 a i direktivet om nät- och informationssäkerhet. Enligt lagen om vattentjänster sköter vattentjänstverken ett samhälles vattentjänster. Alla vattentjänstverk kan anses vara beroende av nätverks- och informationssystem på det sätt som avses i artikel 5.2 b i direktivet. Däremot kan inte alla incidenter som drabbar vattentjänstverk anses vara en sådan betydande störning som avses i artikel 5.2 c. Med stöd av kriterierna i artikel 6 i direktivet kan vattentjänstverk som levererar minst 5 000 kubikmeter vatten per dygn och anläggningar som levererar vatten till dessa anses vara sådana leverantörer av samhällsviktiga tjänster som avses i direktivet. Informationssäkerhetsrelaterade störningar som drabbar denna typ av tjänster utgör alltid en sådan betydande störning i tillhandahållandet av vattentjänster som avses i direktivet. I Finland finns det uppskattningsvis cirka 40 vattentjänstverk som levererar minst 5 000 kubikmeter vatten per dygn och deras kunder utgör mer än hälften av Finlands befolkning. Dessa vattentjänstverk har dessutom klassificerats som vattentjänstverk av kritisk betydelse för försörjningsberedskapen. 

I lagen om vattentjänster ingår bestämmelser om vattentjänstverkens skyldigheter när det gäller att hantera säkerhetsrisker i samband med leveransen och distributionen av dricksvatten. Beredskapsskyldigheten enligt 15 a § i lagen om vattentjänster omfattar även skyldigheten att bereda sig inför risker som gäller informationssystem. I fråga om de skyldigheter som gäller riskhanteringen kan det anses att ovannämnda skyldigheter direkt uppfyller de krav i artikel 14 i direktivet som gäller säkerhet i nätverks- och informationssystem som används av leverantörer av samhällsviktiga tjänster. Däremot innehåller lagen om vattentjänster inte någon skyldighet att anmäla störningar i systemens informationssäkerhet till tillsynsmyndigheten, varför det i lagen bör införas en sådan särskild skyldighet för vattentjänstverk som levererar minst 5 000 kubikmeter vatten per dygn och anläggningar som levererar vatten till dessa.  

Digital infrastruktur 

När det gäller digital infrastruktur anses förvaltning av toppdomänregister vara en sådan samhällsviktig tjänst som avses i artikel 5.2 a i direktivet om nät- och informationssäkerhet. Informationssamhällsbalken innehåller skyldigheter för förvaltare av toppdomänregister att sörja för informationssäkerheten. Enligt lagen är Kommunikationsverket den myndighet som förvaltar ett register över domännamn under toppdomänen fi. Ålands landskapsregering förvaltar ett register över domännamn under toppdomänen ax. Skyldigheterna i informationssamhällsbalken kan anses uppfylla de krav i artikel 14 i direktivet som gäller säkerhet i nätverks- och informationssystem som används av leverantörer av samhällsviktiga tjänster.  

Leverantörer av digitala tjänster 

I den gällande lagstiftningen finns inga bestämmelser om hur sådana leverantörer av samhällsviktiga tjänster (molntjänster, sökmotorer, internetbaserade marknadsplatser) som avses i direktivet om nät- och informationssäkerhet ska hantera informationssäkerhetsrisker eller anmäla störningar i informationssäkerheten. Därför bör skyldigheterna att hantera risker i samband med kommunikationsnät och informationssystem och att till Kommunikationsverket anmäla betydande störningar i ett systems informationssäkerhet införas i informationssamhällsbalken. I direktivet om nät- och informationssäkerhet åläggs medlemsstaterna inte någon motsvarande skyldighet att bedöma en tjänsts betydelse i fråga om tillhandahållandet av digitala tjänster, utan skyldigheterna i direktivet gäller alla tjänsteleverantör som omfattas av direktivets tillämpningsområde. I enlighet med vad som anges i direktivet bör skyldigheterna dock inte gälla små företag och mikroföretag. 

2.3.5  2.3.5 Tillsyn över riskhanterings- och rapporteringsskyldigheter

Såsom ovan anges innehåller den gällande lagstiftningen skyldigheter i fråga om hanteringen av säkerhetsrisker och rapporteringen av incidenter och störningar. För övervakningen av dessa skyldigheter ansvarar en enligt lag behörig myndighet. Vanligen föreskrivs det också om tillsynsmyndigheternas befogenheter i fråga om skötseln av tillsynsuppgifterna, såsom rätten att få uppgifter och utföra inspektioner. Tillsynsmyndigheterna kan också meddela beslut som är bindande för deras tillsynsobjekt. Det vore därför naturligt att kommunikationsnätens och informationssystemens säkerhet övervakas av samma myndighet som övervakar efterlevnaden av andra säkerhetsrelaterade skyldigheter som gäller tillhandahållandet av en tjänst. Även den arbetsgrupp som stöder genomförandet av direktivet om nät- och informationssäkerhet har utifrån sin bedömning föreslagit att de så kallade sektorspecifika tillsynsmyndigheterna ska vara sådana behöriga myndigheter som avses i direktivet.  

Det föreslås att krav på nät- och informationssäkerhet som gäller eldistributionen ska införas i elmarknadslagen medan krav som gäller naturgasdistributionen ska införas i naturgasmarknadslagen. Enligt lagen om tillsyn över el- och naturgasmarknaden övervakar Energimyndigheten att el- och naturgasmarknadslagarna följs, varför det vore naturligt att myndigheten också ska övervaka efterlevnaden av de skyldigheter som gäller informationssäkerheten. 

För transporternas del har de säkerhetsrelaterade tillsynsuppgifterna i fråga om olika transportslag huvudsakligen koncentrerats till Trafiksäkerhetsverket. Vissa leverantörer av transportservice måste dessutom redan i dag anmäla vissa incidenter och störningar som äventyrar trafiksäkerheten till Trafiksäkerhetsverket. Informationssäkerhetsrelaterade skyldigheter som gäller samhällsviktiga tjänster inom transportområdet införs i speciallagar om de olika transportslagen, varför det är motiverat att Trafiksäkerhetsverket ges behörighet att övervaka efterlevnaden av dessa skyldigheter. 

När det gäller banksektorn övervakar Finansinspektionen med stöd av den gällande lagstiftningen efterlevnaden av de skyldigheter i fråga om systemens informationssäkerhet som ingår i den operativa riskhanteringen. Kreditinstituten ska också anmäla störningar i informationssäkerheten till Finansinspektionen. 

Tillstånds- och tillsynsverket för social- och hälsovården övervakar den elektroniska behandlingen av klientuppgifter inom hälsovården och kvalitetskraven i fråga om produkter för hälso- och sjukvård. Tjänsteleverantörerna ska också anmäla vissa informationssäkerhetsrelaterade störningar till verket.  

I lagen om vattentjänster ingår bestämmelser om vattentjänstverkens skyldigheter när det gäller att hantera säkerhetsrisker i samband med leveransen och distributionen av dricksvatten. Tillsynsmyndigheter enligt lagen om vattentjänster är närings-, trafik- och miljöcentralen samt den kommunala miljövårdsmyndigheten och den kommunala hälsoskyddsmyndigheten, var och en av dem inom sitt ansvarsområde. Inom sektorn för leverans och distribution av dricksvatten finns det inte någon motsvarande gemensam sektorspecifik tillsynsmyndighet som inom andra sektorer som omfattas av direktivet. För att säkerställa kontinuiteten i distributionen av dricksvatten och för att myndigheterna ska kunna utöva effektiv tillsyn bör det finnas bestämmelser om att störningar i informationssäkerheten ska anmälas till närings-, trafik- och miljöcentralen. 

De ovannämnda tillsynsmyndigheternas behörighet inom olika sektorer beror på de lagar i vilka behörigheten regleras, varför den varierar. En myndighet har behörighet att övervaka att de skyldigheter som gäller informationssäkerheten fullgörs och att ålägga en aktör att åtgärda lagstridig verksamhet endast om detta föreskrivs i lag. Om behörigheten kan föreskrivas allmänt (t. ex. att Energimyndigheten övervakar att skyldigheterna enligt elmarknadslagen fullgörs) eller specifikt (att en viss myndighet övervakar skyldigheter som föreskrivs i en viss paragraf). Det ska även finnas särskilda bestämmelser om en myndighets rätt att förstärka sitt beslut med administrativa påföljder, exempelvis vite. 

För att säkerställa tillräckliga befogenheter behövs det vissa preciseringar av bestämmelserna om tillsynsmyndigheternas lagstadgade uppgifter, myndigheternas rätt till information, förutsättningarna för behandling av uppgifter och de administrativa påföljderna.