Statsrådets förordning om verksamheten i den offentliga förvaltningens säkerhetsnät
Uppdaterad- Typ av författning
- Förordning
- Förvaltningsområde
- Finansministeriet
- Meddelats
- Publiceringsdag
- Ikraftträdande
- ELI-kod
- http://data.finlex.fi/eli/sd/2015/1109/ajantasa/2020-06-11/swe
I enlighet med statsrådets beslut föreskrivs med stöd av lagen om verksamheten i den offentliga förvaltningens säkerhetsnät (10/2015) :
1 §Definitioner
I denna förordning avses med
1) tjänsteproducent i 6, 8 och 10 § i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät (10/2015) , nedan säkerhetsnätslagen , avsedda tillhandahållare av tjänster när de producerar tjänster i säkerhetsnätet,
2) tjänst i säkerhetsnätet en sådan tjänst som avses i 2, 3 och 5 § och som produceras av en tjänsteproducent,
3) användare en myndighet eller någon annan sammanslutning som hör till en användargrupp enligt 3 och 4 § i säkerhetsnätslagen, när den sköter uppgifter som anknyter till sådan verksamhet som avses i 2 § 1 mom. i säkerhetsnätslagen.
2 §Tjänster som tillhandahålls av den som tillhandahåller nät- och infrastrukturtjänster
Sådana nättjänster som avses i 7 § 1 mom. 1 punkten i säkerhetsnätslagen är
stamnätstjänster i säkerhetsnätet,
tillhandahållande av fysiska anslutningstjänster för säkerhetsnätets stamnät.
Infrastrukturtjänster enligt 7 § 1 mom. 2 punkten i säkerhetsnätslagen är tillhandahållande av utrustningsutrymmen samt platser för säkerhetsnätsutrustning och antennplatser för användare och tjänsteproducenter.
3 § (11.6.2020/442)Uppgifterna för och tjänster som tillhandahålls av den som tillhandahåller informations- och kommunikationstekniska tjänster
Gemensamma informations- och kommunikationstekniska tjänster enligt 9 § 1 mom.1 punkten i säkerhetsnätslagen är
terminalutrustningstjänster,
tjänster för användarstöd,
kommunikationstekniska tjänster,
andra telekommunikationstjänster än de som avses i 2 § i denna förordning,
drifttjänster,
databas- och applikationsplattformstjänster,
integrations- och meddelandeförmedlingstjänster,
informationssäkerhetstjänster som anknyter till de tjänster som avses i 1–7 punkten,
egendomsförvaltningstjänster som anknyter till de tjänster som avses i 1–8 punkten.
Dessutom kan den i 8 § 1 mom. i säkerhetsnätslagen avsedda tillhandahållaren av tjänster producera tjänster som stöder användning av sådan utrustning och sådana informationssystem som avses i 5 § 3 mom. i den lagen och som är placerade i säkerhetsnätets utrustningsutrymmen.
I 9 § 2 mom. 1 punkten i säkerhetsnätslagen avsedda gemensamma informations- och kommunikationstekniska tjänster för myndighetsradionätet och för myndigheternas tidskritiska mobilkommunikation via bredband är
terminalutrustningstjänster,
tjänster för användarstöd,
anslutningstjänster för myndighetsradionätet,
kommunikationstekniska tjänster för myndighetsradionätet,
anslutningstjänster för myndigheternas tidskritiska mobilkommunikation via bredband,
kommunikationstekniska tjänster för myndigheternas tidskritiska mobilkommunikation via bredband,
informationssäkerhetstjänster som anknyter till de tjänster som avses i 1–6 punkten,
egendomsförvaltningstjänster som anknyter till de tjänster som avses i 1–7 punkten.
Dessutom kan tillhandahållare av informations- och kommunikationstekniska tjänster producera gemensamma tjänster som stöder användarnas och tjänsteproducenternas realtidskunskap, ledarskap eller störningsfriheten och kontinuiteten i informationsförmedlingen samt sörjandet för informationssäkerheten.
4 § (11.6.2020/442)Uppgifterna för den som tillhandahåller integrationstjänster
Den som tillhandahåller integrationstjänster har till uppgift att i samarbete med andra tjänsteproducenter
utforma servicehelheterna i säkerhetsnätet,
svara för samordningen av den avtals- och kundhantering som anknyter till tillhandahållandet av servicehelheter i säkerhetsnätet,
organisera anslutandet av tjänster i säkerhetsnätet till användarnas informations- och kommunikationstekniska tjänster,
koordinera hanteringen av ändringar i fråga om säkerhetsnätets servicehelheter, störningshanteringen och skyddet mot hot mot informationssäkerheten mellan tjänsteproducenterna och att informera användarna om dessa frågor,
inhämta behövliga lägesuppgifter som behövs för styrningen, utvecklandet och förvaltandet av servicehelheterna i säkerhetsnätet och att förmedla uppgifterna till finansministeriet och användarna.
5 §Tjänsteproducentens övriga uppgifter och tjänster
En tjänsteproducent kan producera installationstjänster samt projekt- och sakkunnigtjänster som anknyter till de tjänster som avses i 2–4 § för säkerhetsnätets användare och övriga tjänsteproducenter.
6 §Kvaliteten, funktionen, informationssäkerheten, kostnadseffektiviteten och lägesbilden när det gäller tjänsterna i säkerhetsnätet
Tjänsteproducenten ska sörja för kvaliteten och kostnadseffektiviteten hos den tjänst som tjänsteproducenten producerar i säkerhetsnätet samt hos sådana uppgifter som anknyter till säkerhetsnätet och som tjänsteproducenten sköter. Tjänsteproducenten ska särskilt sörja för
övervakning dygnet runt av att tjänsterna fungerar och av informationssäkerheten, och
upptäckande och utredning av samt rapportering om situationer som stör eller hotar tjänstens funktion eller informationssäkerheten.
Tjänsteproducenten ska göra upp och en förteckning över sina tjänster, tjänstebeskrivningar och en prislista samt hålla uppgifterna i dem aktuella.
Tjänsteproducenten ska utarbeta anvisningar om förfaringssätt i fråga om normala förhållanden, störningar under normala förhållanden och undantagsförhållanden och uppdatera dem för utredande av situationer som stör eller hotar tjänsternas funktion och säkerhet, samt för minimerande och avlägsnande av deras konsekvenser utan obefogat dröjsmål.
Tjänsteproducenten ska uppdatera realtidskunskapen i fråga om de uppgifter som föreskrivs i 1 mom. och förmedla lägesuppgifter till den som tillhandahåller integrationstjänster och enligt vad som avtalas separat till användaren.
Tjänsteproducenterna ska när de producerar tjänster i säkerhetsnätet och sköter uppgifter som avses i denna paragraf samarbeta med varandra och med användarna, samt avtala om samordningen av sina tjänster under normala förhållanden, vid störningar under normala förhållanden samt under undantagsförhållanden.
Tjänsteproducenten ska uppdatera den information om avtal och underleverantörer som anknyter till tillhandahållandet av tjänster i säkerhetsnätet.
7 §Användningen av utrustningsutrymmen
Utöver vad som föreskrivs i 5 § 3 mom. i säkerhetsnätslagen kan i utrustningsutrymmen som används av tjänsteproducenten för produktion av tjänster i säkerhetsnätet, genom beslut av finansministeriet placeras sådan utrustning och sådana informationssystem som används i samarbetet mellan statens högsta ledning och myndigheter samt andra aktörer som är viktiga med tanke på säkerheten i samhället, om kraven på hög beredskap eller säkerhet ska iakttas i verksamheten.
8 §Beredskap
För att säkerställa kontinuiteten hos säkerhetsnätets tjänster under normala förhållanden, vid störningar under normala förhållanden samt under undantagsförhållanden ska tjänsteproducenten i den utsträckning som de tjänstespecifika kraven på beredskap förutsätter, vid behov i samarbete med andra tjänsteproducenter och användare (11.6.2020/442)
se till att ledningen inom organisationens olika nivåer bär sitt ansvar och säkerställa kontinuerlig beredskap för ledning av tillhandahållandet av tjänster,
planera och ordna tillhandahållande av tjänster med beaktande av i synnerhet kontinuiteten och störningsfriheten hos den dagliga operativa verksamheten samt hot under normala förhållanden och undantagsförhållanden,
säkerställa att samarbetet med underleverantörerna fortsätter,
säkerställa särskilt datakommunikationens funktion, tillgången till information, tjänster, upprätthållande och kunnande samt verksamhet enligt finsk lagstiftning med beaktande av undantagsförhållanden,
säkerställa tillräckliga resurser för skötseln av sina uppgifter,
sörja för utbildning av personalen och för övningar med tanke på störningar.
9 § (11.6.2020/442)Kraven på informationssäkerhet
Tjänsterna i säkerhetsnätet ska tillhandahållas och utvecklas så att det är möjligt att tjänstespecifikt uppfylla informationssäkerhetskraven för behandling av sekretessbelagda handlingar, informationssäkerhetskraven för behandling av handlingar i säkerhetsklass II, III eller IV enligt statsrådets förordning om säkerhetsklassificering av handlingar inom statsförvaltningen (1101/2019) samt informationssäkerhetskraven för särskilt känsligt informationsmaterial som avses i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) .
Tjänsteproducenten ska för användarna tillhandahålla en tjänstespecifik förteckning över uppfyllandet av de krav som avses i 1 mom. och över resultaten av de i 10 § avsedda bedömningarna av uppfyllandet av kraven på informationssäkerhet.
10 §Grunderna för bedömning av kraven på informationssäkerhet och beredskap samt konstaterande av att kraven uppfylls
När man konstaterar att kraven på informationssäkerhet och beredskap för tjänster i säkerhetsnätet uppfylls ska denna förordning och de föreskrifter som finansministeriet utfärdat med stöd av 14 § 4 mom. i säkerhetsnätslagen användas som bedömningsgrunder.
Uppfyllande av kraven på informationssäkerhet och beredskap för tjänsterna i säkerhetsnätet ska bedömas och konstateras med iakttagande av lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011) och lagen om internationella förpliktelser som gäller informationssäkerhet.
Tjänsteproducenten svarar för att de tjänster i säkerhetsnätet som hör till producentens tjänsteproduktion samt de informationssystem och den utrustning som används vid produktionen av tjänsterna uppfyller kraven enligt 8 och 9 § under hela deras livscykel också när tjänsteproducenten använder en underleverantör för att tillhandahålla tjänsten i säkerhetsnätet.
11 § (11.6.2020/442)Användning av tjänster i säkerhetsnätet
Finansministeriet godkänner att sådana tjänster i säkerhetsnätet som avses i 2, 3 och 5 § tas i användning. En förutsättning för godkännande är att tjänsterna i enlighet med 10 § kan konstateras uppfylla kraven enligt 8 och 9 § i en sådan utsträckning att man genom att ta dem i användning inte äventyrar förverkligandet av säkerhetsnätslagens syfte, och det är uppenbart att kraven kommer att uppfyllas senast vid en tidpunkt som bestämts i samband med godkännandet.
Innan tjänsterna i säkerhetsnätet tas i bruk ska användaren lämna en redogörelse till tjänsteproducenten för att användaren uppfyller de krav på informationssäkerhet som beskrivs i den förordning som finansministeriet utfärdat med stöd av 14 § 4 mom. i säkerhetsnätslagen eller de krav på informationssäkerhet i fråga om användningen som finansministeriet annars godkänt.
Innan användarens informationssystem eller informations- och kommunikationstekniska tjänst ansluts till säkerhetsnätet ska användaren lämna en redogörelse till tjänsteproducenten för att informationssystemet eller den informations- och kommunikationstekniska tjänsten uppfyller de krav på informationssäkerhet som beskrivs i den förordning som finansministeriet utfärdat med stöd av 14 § 4 mom. i säkerhetsnätslagen eller de krav på informationssäkerhet som är en förutsättning för anslutningen och som finansministeriet annars godkänt.
Tjänsteproducenten kan låta tjänster i säkerhetsnätet tas i användning efter att ha försäkrat sig om att de krav som avses i 2 mom. uppfylls. Tjänsteproducenten kan ansluta användarens informationssystem eller informations- och kommunikationstekniska tjänst till säkerhetsnätet efter att ha förvissat sig om att de krav som avses i 2 och 3 mom. uppfylls. Tjänsteproducenten ska dessutom förvissa sig om att anslutningslösningen för användarens informationssystem eller informations- och kommunikationstekniska tjänst uppfyller de krav på informationssäkerhet som beskrivs i den förordning som finansministeriet utfärdat med stöd av 14 § 4 mom. i säkerhetsnätslagen eller de krav på informationssäkerhet i fråga om anslutningslösningen som finansministeriet annars godkänt. Om tjänsteproducenten inte kan förvissa sig om att kraven uppfylls eller om användningen eller anslutningen enligt tjänsteproducentens bedömning kan ha negativa konsekvenser för säkerhetsnätets informationssäkerhet, ska tjänsteproducenten överföra ärenden som gäller användning eller anslutning till finansministeriet för behandling.
12 § (11.6.2020/442)Uppgifterna för delegationen för säkerhetsnätet
Finansministeriet ska höra delegationen för säkerhetsnätet åtminstone innan föreskrifter, beslut eller rekommendationer meddelas i följande frågor:
strategiska mål för och finansiering av säkerhetsnätsverksamheten samt avgifter som tjänsteproducenterna tar ut,
de krav som ställs på tjänsteproducenterna när det gäller tjänstens kvalitet, säkerhet, aktionsberedskap och annan beredskap samt kontinuitet,
ordnande och utvecklande av tjänsteproduktionen för säkerhetsnätet,
ordnande och upprätthållande av beredskapen i fråga om tjänsterna i säkerhetsnätet och säkerheten hos tjänsterna,
godkännande av en sådan ny användare av säkerhetsnätet som avses i 4 § 1 mom. i säkerhetsnätslagen,
i 11 § 1 mom. avsett godkännande av att tjänster i säkerhetsnätet tas i användning,
uppfyllande av kraven för i 11 § 2–4 mom. avsedd användning och anslutning till säkerhetsnätet, om ärendet har överförts till finansministeriet för behandling,
omfattningen av en tjänsteproducents underleverans och förutsättningarna för användningen av underleverans,
den prioritet, skyndsamhet och viktighetsklassificering i övrigt som gäller för säkerhetsnätets tjänsteproduktion och användning, om inte ärendets skyndsamhet kräver omedelbara åtgärder.
13 §Ikraftträdande
Denna förordning träder i kraft den 15 september 2015.
Ikraftträdelsestadganden
11.6.2020/442:
Denna förordning träder i kraft den 1 juli 2020.