281/2018

Den som tillhandahåller en internetbaserad marknadsplats, en internetbaserad sökmotortjänst eller en molntjänst ska sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som denne använder. Vid riskhanteringen ska hänsyn tas till

Den riskhanteringskyldighet som avses i 1 mom. gäller inte sådana mikroföretag och små företag som avses i artikel 16.11 i Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, nedan direktivet om nät- och informationssäkerhet .

Ett teleföretag ska utan dröjsmål göra en anmälan till Kommunikationsverket om dess tjänster utsätts för eller hotas av betydande kränkningar av informationssäkerheten eller av någonting annat som gör att en kommunikationstjänst inte fungerar eller väsentligen stör den. Teleföretaget ska också utan obefogat dröjsmål anmäla hur länge störningen eller hotet beräknas pågå, om vilka verkningar störningen eller hotet har, om avhjälpande åtgärder samt om åtgärder för att förhindra att störningen upprepas. Kommunikationsverket ska årligen sända kommissionen och Europeiska unionens byrå för nät- och informationssäkerhet en sammanfattande informationsrapport om anmälningarna.

En i 247 a § avsedd aktör som tillhandahåller en internetbaserad marknadsplats, en internetbasera sökmotortjänst eller en molntjänst ska utan dröjsmål göra en anmälan till Kommunikationsverket om dess tjänster utsätts för en betydande informationssäkerhetsrelaterad störning.

Om det ligger i allmänt intresse att det görs en anmälan om en störning kan Kommunikationsverket ålägga teleföretaget eller den som tillhandahåller tjänsten att informera om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken.

Kommunikationsverket får meddela närmare föreskrifter om när en störning som avses i 1 mom. är betydande samt föreskrifter om innehållet i de anmälningar som avses i 1 och 2 mom. samt anmälningarnas utformning och hur de lämnas in.

Kommunikationsverket ska bedöma om en sådan störning som avses i 2 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna.

Utöver vad som föreskrivs någon annanstans i denna lag ska Kommunikationsverket

Kommunikationsverket ska samarbeta med de myndigheter som utövar tillsyn över nät- och informationssäkerheten i övriga medlemsstater i Europeiska unionen, med enheter för hantering av it-säkerhetsincidenter samt med den samarbetsgrupp som avses i artikel 11 i direktivet om nät- och informationssäkerhet. Kommunikationsverket ska årligen sända samarbetsgruppen en sammanfattande rapport i enlighet med artikel 10.3 i det direktivet.

Kommunikationsverket kan ställa sina tillsynsuppgifter enligt denna lag i viktighetsordning. Kommunikationsverket får lämna ett ärende utan prövning om

Kommunikationsverket har, trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information, rätt att lämna ut dokument som det fått eller upprättat i samband med sina uppgifter enligt lag samt att röja sekretessbelagd information för Trafiksäkerhetsverket, Energimyndigheten, Finansinspektionen, Tillstånds- och tillsynsverket för social- och hälsovården samt närings-, trafik- och miljöcentralen, om det är nödvändigt för skötseln av deras lagstadgade uppgifter i anslutning till informationssäkerhet.