281/2018

Helsingfors den 4 maj 2018

Lag om ändring av informationssamhällsbalken

I enlighet med riksdagens beslut

ändras i informationssamhällsbalken (917/2014) 275 §, 304 § 1 mom. 7 och 10 punkten samt 313 § 2 mom. 2 punkten och

fogas till lagen en ny 247 a §, till 308 §, sådan den lyder delvis ändrad i lag 456/2016, ett nytt 3 mom. samt till 318 §, sådan den lyder delvis ändrad i lag 456/2016, ett nytt 2 mom., varvid det nuvarande 2–4 mom. blir 3–5 mom., som följer:

247 a §
Skyldighet för den som tillhandahåller internetbaserade marknadsplatser, sökmotortjänster och molntjänster att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem

Den som tillhandahåller en internetbaserad marknadsplats, en internetbaserad sökmotortjänst eller en molntjänst ska sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som denne använder. Vid riskhanteringen ska hänsyn tas till

1) systems och anläggningars säkerhet,

2) hantering av hot mot informationssäkerheten och av störningar,

3) driftskontinuitetshantering,

4) övervakning, revision och testning,

5) efterlevnad av internationella standarder.

Den riskhanteringskyldighet som avses i 1 mom. gäller inte sådana mikroföretag och små företag som avses i artikel 16.11 i Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, nedan direktivet om nät- och informationssäkerhet.

275 §
Störningsanmälningar till Kommunikationsverket

Ett teleföretag ska utan dröjsmål göra en anmälan till Kommunikationsverket om dess tjänster utsätts för eller hotas av betydande kränkningar av informationssäkerheten eller av någonting annat som gör att en kommunikationstjänst inte fungerar eller väsentligen stör den. Teleföretaget ska också utan obefogat dröjsmål anmäla hur länge störningen eller hotet beräknas pågå, om vilka verkningar störningen eller hotet har, om avhjälpande åtgärder samt om åtgärder för att förhindra att störningen upprepas. Kommunikationsverket ska årligen sända kommissionen och Europeiska unionens byrå för nät- och informationssäkerhet en sammanfattande informationsrapport om anmälningarna.

En i 247 a § avsedd aktör som tillhandahåller en internetbaserad marknadsplats, en internetbasera sökmotortjänst eller en molntjänst ska utan dröjsmål göra en anmälan till Kommunikationsverket om dess tjänster utsätts för en betydande informationssäkerhetsrelaterad störning.

Om det ligger i allmänt intresse att det görs en anmälan om en störning kan Kommunikationsverket ålägga teleföretaget eller den som tillhandahåller tjänsten att informera om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken.

Kommunikationsverket får meddela närmare föreskrifter om när en störning som avses i 1 mom. är betydande samt föreskrifter om innehållet i de anmälningar som avses i 1 och 2 mom. samt anmälningarnas utformning och hur de lämnas in.

Kommunikationsverket ska bedöma om en sådan störning som avses i 2 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna.

304 §
Kommunikationsverkets särskilda uppgifter

Utöver vad som föreskrivs någon annanstans i denna lag ska Kommunikationsverket


7) samla in information om kränkningar och hot om kränkningar av informationssäkerheten för nättjänster, kommunikationstjänster, mervärdestjänster och informationssystem samt om fel och störningar i kommunikationsnät och kommunikationstjänster,


10) utreda kränkningar och hot om kränkningar av informationssäkerheten för nättjänster, kommunikationstjänster, mervärdestjänster och informationssystem,


308 §
Myndighetssamarbete

Kommunikationsverket ska samarbeta med de myndigheter som utövar tillsyn över nät- och informationssäkerheten i övriga medlemsstater i Europeiska unionen, med enheter för hantering av it-säkerhetsincidenter samt med den samarbetsgrupp som avses i artikel 11 i direktivet om nät- och informationssäkerhet. Kommunikationsverket ska årligen sända samarbetsgruppen en sammanfattande rapport i enlighet med artikel 10.3 i det direktivet.

313 §
Behandling av tillsynsärenden vid Kommunikationsverket

Kommunikationsverket kan ställa sina tillsynsuppgifter enligt denna lag i viktighetsordning. Kommunikationsverket får lämna ett ärende utan prövning om


2) ärendet trots en misstanke om fel eller försummelser endast har en ringa betydelse med tanke på kommunikationsmarknadens funktion, kommunikationstjänsternas tillförlitlighet eller tryggandet av störningsfri elektronisk kommunikation och med tanke på deras intressen som använder tjänsterna eller med tanke på riskhanteringen i fråga om de tjänster som avses i 247 a §, eller


318 §
Utlämnande av information från myndigheter

Kommunikationsverket har, trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information, rätt att lämna ut dokument som det fått eller upprättat i samband med sina uppgifter enligt lag samt att röja sekretessbelagd information för Trafiksäkerhetsverket, Energimyndigheten, Finansinspektionen, Tillstånds- och tillsynsverket för social- och hälsovården samt närings-, trafik- och miljöcentralen, om det är nödvändigt för skötseln av deras lagstadgade uppgifter i anslutning till informationssäkerhet.



Denna lag träder i kraft den 9 maj 2018.

RP 192/2017
KoUB 6/2018
RSv 25/2018
Europaparlamentets och rådets direktiv (EU) 2016/1148 (32016L1148); EUT L 194/1, 19.7.2016 s. 1

Helsingfors den 4 maj 2018

Republikens President
Sauli Niinistö

Kommunikationsminister
Anne Berner

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.