1109/2015

Helsingfors den 27 augusti 2015

Statsrådets förordning om verksamheten i den offentliga förvaltningens säkerhetsnät

I enlighet med statsrådets beslut föreskrivs med stöd av lagen om verksamheten i den offentliga förvaltningens säkerhetsnät (10/2015):

1 §
Definitioner

I denna förordning avses med

1) tjänsteproducent i 6, 8 och 10 § i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät (10/2015), nedan säkerhetsnätslagen, avsedda tillhandahållare av tjänster när de producerar tjänster i säkerhetsnätet,

2) tjänst i säkerhetsnätet en sådan tjänst som avses i 2, 3 och 5 § och som produceras av en tjänsteproducent,

3) användare en myndighet eller någon annan sammanslutning som hör till en användargrupp enligt 3 och 4 § i säkerhetsnätslagen, när den sköter uppgifter som anknyter till sådan verksamhet som avses i 2 § 1 mom. i säkerhetsnätslagen.

2 §
Tjänster som tillhandahålls av den som tillhandahåller nät- och infrastrukturtjänster

Sådana nättjänster som avses i 7 § 1 mom. 1 punkten i säkerhetsnätslagen är

1) stamnätstjänster i säkerhetsnätet,

2) tillhandahållande av fysiska anslutningstjänster för säkerhetsnätets stamnät.

Infrastrukturtjänster enligt 7 § 1 mom. 2 punkten i säkerhetsnätslagen är tillhandahållande av utrustningsutrymmen samt platser för säkerhetsnätsutrustning och antennplatser för användare och tjänsteproducenter.

3 §
Uppgifterna för och tjänster som tillhandahålls av den som tillhandahåller informations- och kommunikationstekniska tjänster

Gemensamma informations- och kommunikationstekniska tjänster enligt 9 § 1 mom.1 punkten i säkerhetsnätslagen är

1) terminalutrustningstjänster och tjänster för användarstöd,

2) kommunikationstekniska tjänster,

3) andra telekommunikationstjänster än de som avses i 2 § och informationssäkerhetstjänster i anknytning till dem,

4) datacenter- och kapacitetstjänster,

5) integrations- och meddelandeförmedlingstjänster,

6) gemensamma informationssystemtjänster som stöder användarnas och tjänsteproducenternas realtidskunskap, ledarskap eller störningsfriheten och kontinuiteten hos informationsförmedlingen samt sörjandet för informationssäkerheten,

7) egendomsförvaltningstjänster som anknyter till de tjänster som nämns i 1–6 punkten.

Dessutom kan den som tillhandahåller informations- och kommunikationstekniska tjänster producera tjänster som stöder användning av sådan utrustning och sådana informationssystem som avses i 5 § 3 mom. i säkerhetsnätslagen och som är placerade i säkerhetsnätets utrustningsutrymmen.

4 §
Uppgifterna för den som tillhandahåller integrationstjänster

Den som tillhandahåller integrationstjänster har i uppgift att

1) utforma servicehelheterna i säkerhetsnätet,

2) svara för den avtals- och kundhantering som anknyter till tillhandahållandet av servicehelheter i säkerhetsnätet,

3) organisera anslutandet av tjänster i säkerhetsnätet till användarnas informations- och kommunikationstekniska tjänster,

4) koordinera hanteringen av ändringar i fråga om säkerhetsnätets servicehelheter, störningshanteringen och skyddet mot hot mot informationssäkerheten mellan tjänsteproducenterna och att informera användarna om dessa frågor,

5) inhämta behövliga lägesuppgifter som behövs för styrningen, utvecklandet och upprätthållandet av servicehelheterna i säkerhetsnätet och att förmedla uppgifterna till finansministeriet och användarna.

5 §
Tjänsteproducentens övriga uppgifter och tjänster

En tjänsteproducent kan producera installationstjänster samt projekt- och sakkunnigtjänster som anknyter till de tjänster som avses i 2–4 § för säkerhetsnätets användare och övriga tjänsteproducenter.

6 §
Kvaliteten, funktionen, informationssäkerheten, kostnadseffektiviteten och lägesbilden när det gäller tjänsterna i säkerhetsnätet

Tjänsteproducenten ska sörja för kvaliteten och kostnadseffektiviteten hos den tjänst som tjänsteproducenten producerar i säkerhetsnätet samt hos sådana uppgifter som anknyter till säkerhetsnätet och som tjänsteproducenten sköter. Tjänsteproducenten ska särskilt sörja för

1) övervakning dygnet runt av att tjänsterna fungerar och av informationssäkerheten, och

2) upptäckande och utredning av samt rapportering om situationer som stör eller hotar tjänstens funktion eller informationssäkerheten.

Tjänsteproducenten ska göra upp och en förteckning över sina tjänster, tjänstebeskrivningar och en prislista samt hålla uppgifterna i dem aktuella.

Tjänsteproducenten ska utarbeta anvisningar om förfaringssätt i fråga om normala förhållanden, störningar under normala förhållanden och undantagsförhållanden och uppdatera dem för utredande av situationer som stör eller hotar tjänsternas funktion och säkerhet, samt för minimerande och avlägsnande av deras konsekvenser utan obefogat dröjsmål.

Tjänsteproducenten ska uppdatera realtidskunskapen i fråga om de uppgifter som föreskrivs i 1 mom. och förmedla lägesuppgifter till den som tillhandahåller integrationstjänster och enligt vad som avtalas separat till användaren.

Tjänsteproducenterna ska när de producerar tjänster i säkerhetsnätet och sköter uppgifter som avses i denna paragraf samarbeta med varandra och med användarna, samt avtala om samordningen av sina tjänster under normala förhållanden, vid störningar under normala förhållanden samt under undantagsförhållanden.

Tjänsteproducenten ska uppdatera den information om avtal och underleverantörer som anknyter till tillhandahållandet av tjänster i säkerhetsnätet.

7 §
Användningen av utrustningsutrymmen

Utöver vad som föreskrivs i 5 § 3 mom. i säkerhetsnätslagen kan i utrustningsutrymmen som används av tjänsteproducenten för produktion av tjänster i säkerhetsnätet, genom beslut av finansministeriet placeras sådan utrustning och sådana informationssystem som används i samarbetet mellan statens högsta ledning och myndigheter samt andra aktörer som är viktiga med tanke på säkerheten i samhället, om kraven på hög beredskap eller säkerhet ska iakttas i verksamheten.

8 §
Beredskap

För att säkerställa kontinuiteten hos säkerhetsnätets tjänster under normala förhållanden, vid störningar under normala förhållanden samt under undantagsförhållanden ska tjänsteproducenten i den utsträckning som kraven på hög beredskap och hög säkerhet förutsätter, vid behov i samarbete med andra tjänsteproducenter och användare

1) se till att ledningen inom organisationens olika nivåer bär sitt ansvar och säkerställa kontinuerlig beredskap för ledning av tillhandahållandet av tjänster,

2) planera och ordna tillhandahållande av tjänster med beaktande av i synnerhet kontinuiteten och störningsfriheten hos den dagliga operativa verksamheten samt hot under normala förhållanden och undantagsförhållanden,

3) säkerställa att samarbetet med underleverantörerna fortsätter,

4) säkerställa särskilt datakommunikationens funktion, tillgången till information, tjänster, upprätthållande och kunnande samt verksamhet enligt finsk lagstiftning med beaktande av undantagsförhållanden,

5) säkerställa tillräckliga resurser för skötseln av sina uppgifter,

6) sörja för utbildning av personalen och för övningar med tanke på störningar.

9 §
Kraven på informationssäkerhet

Tjänsterna i säkerhetsnätet ska tillhandahållas och utvecklas så att det är möjligt att tjänstespecifikt uppfylla kraven på informationssäkerhet för skyddsnivåerna II, III eller IV enligt 9 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010) samt informationssäkerhetskraven på särskilt känsligt informationsmaterial som avses i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2014).

10 §
Grunderna för bedömning av kraven på informationssäkerhet och beredskap samt konstaterande av att kraven uppfylls

När man konstaterar att kraven på informationssäkerhet och beredskap för tjänster i säkerhetsnätet uppfylls ska denna förordning och de föreskrifter som finansministeriet utfärdat med stöd av 14 § 4 mom. i säkerhetsnätslagen användas som bedömningsgrunder.

Uppfyllande av kraven på informationssäkerhet och beredskap för tjänsterna i säkerhetsnätet ska bedömas och konstateras med iakttagande av lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011) och lagen om internationella förpliktelser som gäller informationssäkerhet.

Tjänsteproducenten svarar för att de tjänster i säkerhetsnätet som hör till producentens tjänsteproduktion samt de informationssystem och den utrustning som används vid produktionen av tjänsterna uppfyller kraven enligt 8 och 9 § under hela deras livscykel också när tjänsteproducenten använder en underleverantör för att tillhandahålla tjänsten i säkerhetsnätet.

11 §
Användning av tjänster i säkerhetsnätet

Finansministeriet godkänner att sådana tjänster i säkerhetsnätet som avses i 2, 3 och i 5 § tas i användning. En förutsättning för godkännande är att tjänsterna i enlighet med 10 § kan konstateras uppfylla kraven enligt 8 och 9 § i en sådan utsträckning att man genom att ta dem i användning inte äventyrar förverkligandet av säkerhetsnätslagens syfte, och det är uppenbart att kraven kommer att uppfyllas senast vid en tidpunkt som bestämts i samband med godkännandet.

Innan en användares informationssystem eller informations- eller kommunikationstekniska tjänst ansluts till säkerhetsnätet ska tjänsteproducenten se till att anslutningslösningen för de informationssystem och den informations- eller kommunikationstekniska tjänst som ansluts uppfyller tillräckliga krav i fråga om informationssäkerhet med tanke på upprätthållandet av säkerhetsnivån i säkerhetsnätet, och inhämta finansministeriets godkännande för anslutandet.

12 §
Uppgifterna för delegationen för säkerhetsnätet

Finansministeriet ska höra delegationen för säkerhetsnätet åtminstone före utfärdande av föreskrifter, beslut eller rekommendationer om följande frågor:

1) strategiska mål för och finansiering av säkerhetsnätsverksamheten samt avgifter som tas ut av tjänsteproducenterna,

2) de krav på kvalitet, säkerhet, aktionsberedskap, annan beredskap och kontinuitet hos de tjänster som gäller tjänsteproducenterna,

3) ordnande och utvecklande av tjänsteproduktionen för säkerhetsnätet,

4) ordnande och upprätthållande av beredskapen i fråga om tjänsterna i säkerhetsnätet och säkerheten hos tjänsterna,

5) godkännande av en sådan ny användare av säkerhetsnätet som avses i 4 § 1 mom. i säkerhetsnätslagen,

6) ett i 11 § 1 mom. avsett godkännande av att en tjänst i säkerhetsnätet tas i användning,

7) i 11 § 2 mom. avsedd anslutning av en användares informationssystem eller informations- eller kommunikationstekniska tjänst,

8) placering av säkerhetsnätets utrustningsutrymmen och utrustning,

9) i 7 § avsedd användning av utrustningsutrymmen,

10) omfattningen av en tjänsteproducents underleverans och förutsättningarna för användningen av underleverans,

11) den prioritet, skyndsamhet och viktighetsklassificering i övrigt som gäller för säkerhetsnätets tjänsteproduktion och användning, om inte ärendets skyndsamhet kräver omedelbara åtgärder.

13 §
Ikraftträdande

Denna förordning träder i kraft den 15 september 2015.

Helsingfors den 27 augusti 2015

Kommun- och reformminister
Anu Vehviläinen

Lagstiftningsråd
Eeva Lantto

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.