(5)

Relevanta dokument
Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Tillsyn över dokumentation av informationsbehandlingstillgångar

Tillsyn över säkerhetsarbete hos underleverantör

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Tillsyn efter inträffad integritetsincident i fakturasystem

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Tillsyn över dokumentation av tillgångar och förbindelser

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Säkerhetsbrister i kundplacerad utrustning

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Exponerade fakturor på internet

Avbrott i bredbandstelefonitjänst

Vägledning om skyldigheten att rapportera integritetsincidenter

Förändringar i nya LEK

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Minnesanteckningar Driftsäkerhetsforum 23 november 2016

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Överlämnande av nummer vid byte av tjänsteleverantör

Säkerhetsbrister i kundplacerad utrustning

Vägledning om skyldigheten att rapportera avbrott och störningar

KU Regelrådet.pdf; Föreskrifter Regelrådet.pdf; Missiv Regelrådet.pdf

Mötesanteckningar från Driftsäkerhetsforum

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Minnesanteckningar Driftsäkerhetsforum 3 maj 2017

Ansökan om undantag från krav på reservkraft

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Tillsynsrapport: Informationskrav vid ändring av avtal

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

Driftsäkerhetsforum. 15 juni Post- och telestyrelsen

Saken. PTS underrättelse

Minnesanteckningar Integritetsforum 27 april 2018

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Driftsäkerhet i elektroniska kommunikationer

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Tillsyn över behandling av uppgifter

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Driftsäkerhetsforum. 26 november Post- och telestyrelsen

Informationssäkerhet för samhällsviktiga och digitala tjänster

Beslut om ändring av telefoninummerplanen

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Föreläggande att inkomma med uppgifter

Beslut om avskrivning

Underrättelse avseende krav om god funktion och teknisk säkerhet Telia Fastmobil

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Minnesanteckningar Driftsäkerhetsforum Tid: 26 november Plats: PTS lokaler på Valhallavägen 117 i Stockholm

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Konsumentklagomål på telefoni och bredband. Kvartalsrapport oktober - december 2016

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning.

Underrättelse om att Halebops villkor för registrering av kontantkort strider mot 5 kap. 9 lagen (2004:389) om elektronisk kommunikation (LEK).

Förslag till beslut om ändring av telefoninummerplanen

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Utredningen om genomförande av NIS-direktivet

Post- och telestyrelsen, PTS. Post- och telestyrelsen

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Post- och telestyrelsens författningssamling

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Datum Vår referens Sida Dnr: (5) Remissvar avseende vallagskommitténs slutbetänkande Eröstning och andra valfrågor (SOU 2013:24)

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Anmälan av personuppgiftsincident

För att underlätta läsningen har tillämplig lagtext i lagen (2003:389) om elektronisk kommunikation (LEK) bifogats sist i dokumentet.

Post- och telestyrelsens författningssamling

Anslutningsavtal. inom infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för utfärdare av Svensk e-legitimation

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Ändring av telefoninummerplanen

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

UNDERRÄTTELSE 1(4) Vår referens Dnr:

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Myndigheten för samhällsskydd och beredskaps författningssamling

Konsekvensutredning avseende föreskrifter om rimliga krav på driftsäkerhet

Välkomna! Integritetsforum torsdagen den 14 april 2016

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Välkomna till Integritetsforum!

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Transkript:

TILLSYNSPLAN Datum Vår referens Sida 2019-01-15 19-352 1(5) PTS tillsynsplan 2019-2020 för säkra kommunikationsnät och -tjänster Post- och telestyrelsen (PTS) är tillsynsmyndighet över sektorn elektronisk kommunikation. Myndigheten publicerar här sina planlagda tillsynsinsatser för 2019-2020 inom områdena konfidentiell kommunikation och driftsäkerhet. Utöver planlagd tillsyn inom dessa områden bedriver PTS även löpande händelsestyrd tillsyn. 1 Konfidentiell kommunikation Ett av PTS övergripande mål är att alla användare har tillgång till tillförlitliga och säkra elektroniska kommunikationsnät och -tjänster. En viktig säkerhetsfråga är skyddet av konfidentialitet för uppgifter som behandlas i samband med tillhandahållandet av tjänster. PTS arbetar för att alla i Sverige ska kunna kommunicera elektroniskt utan att riskera att informationen kommer på avvägar eller används på ett oönskat sätt. 1.1 Regler om konfidentiell kommunikation Lagen (2003:389) om elektronisk kommunikation (LEK) innehåller regler om rätten till konfidentiell kommunikation som gäller tillhandahållare av elektroniska kommunikationsnät och -tjänster. Det finns krav på att vidta tekniska och organisatoriska säkerhetsåtgärder för att skydda de uppgifter som behandlas. Reglerna i LEK kompletteras av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1). Enligt bestämmelser i LEK, kompletterade av en direkt tillämplig EUförordning, är tjänstetillhandahållare även skyldiga att rapportera inträffade integritetsincidenter till PTS och berörda abonnenter eller enskilda personer, samt att föra en förteckning över inträffade incidenter. En integritetsincident utgörs av en händelse som leder till oavsiktlig eller otillåten utplåning, förlust, eller ändring eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

behandlas i samband med tillhandahållande av tjänsten. Rapporterna ger PTS underlag om de viktigare orsakerna till integritetsincidenter, och hur tillhandahållarna arbetar för att förebygga och hantera inträffade händelser. Rapporterna kan även ge PTS anledning att misstänka att bestämmelserna om skydd av behandlade uppgifter inte efterlevs och i sådana fall bedriva tillsyn. 2 Driftsäkerhet En annan viktig säkerhetsfråga är att elektroniska kommunikationsnät och - tjänster är tillgängliga, dvs. att de är driftsäkra. PTS arbetar för att nät och tjänster ska ha en nivå av driftsäkerhet som motsvarar användarnas behov. 2.1 Regler om driftsäkerhet Enligt 5 kap. 6 b LEK ska tillhandahållare av allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att verksamheten uppfyller rimliga krav på driftsäkerhet. Skyldigheterna preciseras i PTS föreskrifter (PTSFS 2015:2) om krav på driftsäkerhet (driftsäkerhetsföreskrifterna). Tillhandahållarna är även skyldiga att rapportera in störningar eller avbrott av betydande omfattning till PTS. Det framgår av 5 kap. 6 c LEK. Skyldigheten preciseras i PTS föreskrifter och allmänna råd om rapportering av störningar eller avbrott av betydande omfattning (PTSFS 2018:4). Föreskrifterna uppdaterades i början av 2019. Ändringarna innebär bl.a. att tidpunkten för inrapportering justeras och att tillhandahållaren redan i den inledande rapporten behöver ange preliminär orsak till störningen eller avbrottet. Rapporterna ger PTS underlag om de viktigare orsakerna till störningar och avbrott, och hur tillhandahållarna arbetar för att förebygga och hantera inträffade händelser. Rapporterna kan även ge PTS anledning att misstänka att bestämmelserna om driftssäkerhet inte efterlevs och i sådana fall bedriva tillsyn. Post- och telestyrelsen 2

3 Planlagd tillsyn 2019-2020 3.1 Årlig tillsyn av inträffade störningar och avbrott samt integritetsincidenter PTS granskar löpande de rapporter om störningar och avbrott samt integritetsincidenter som inkommer till myndigheten. I händelse av mer omfattande eller principiellt intressanta incidenter kan PTS komma att inleda händelsestyrd tillsyn, som regel inriktad på att granska orsakerna till den inträffade händelsen och tillhandahållarens arbete för att undvika att liknande händelser inträffar igen. PTS följer även upp de större tillhandahållarnas arbete med att hantera och dra lärdomar av inträffade incidenter genom en planlagd årlig tillsyn, som omfattar samtliga de inrapporterade störningar och avbrott samt integritetsincidenter under det gångna året som inte redan har granskats inom ramen för händelsestyrd tillsyn. Tillsynen kan även omfatta granskning av tillhandahållarnas rutiner för incidentrapportering. Den årliga tillsynen kommer att inledas under första kvartalet 2019 och bedrivas huvudsakligen genom inhämtning av skriftliga underlag och möten med de större tillhandahållarna. 3.2 Säkerhetsarbete hos små och medelstora tillhandahållare PTS kan konstatera att majoriteten av incidentrapporterna inkommer från de större tillhandahållarna. Detta kan delvis förklaras av att en mer omfattande verksamhet även leder till fler integritetsincidenter och störningar och avbrott av betydande omfattning. Reglerna om incidentrapportering är dock utformade så att även händelser där endast en person är drabbad av en integritetsincident är rapporteringspliktiga, samt att även driftsäkerhetsincidenter hos mindre tillhandahållare ska rapporteras, främst genom kravet på rapportering vid ett visst procentuellt kapacitetsbortfall. Mot bakgrund av det begränsade antalet incidentrapporter från mindre tillhandahållare misstänker PTS att flera av dessa tillhandahållare inte efterlever kraven på rapportering. Bristen på rapporter ger också PTS ett sämre underlag för bedömning av hur tillhandahållarna lever upp till bestämmelserna om krav på skydd av behandlade uppgifter och driftsäkerhet. PTS har därför för avsikt att i början av 2019 inleda tillsyn med inriktning på att granska hur små och medelstora tillhandahållare av nät och tjänster lever upp till kraven på konfidentiell kommunikation och driftsäkerhet, samt hur de efterlever kraven på incidentrapportering. Tillsynen kommer att bedrivas genom skriftlig informationsinhämtning från ett större antal små och medelstora tillhandahållare, eventuellt kombinerat med inspektioner på plats hos ett urval av dessa tillhandahållare. Post- och telestyrelsen 3

3.3 Processer för riskanalyser PTS anser att tillhandahållares arbete med riskanalyser är centralt för att kunna bedriva ett långsiktigt, kontinuerligt och systematiskt säkerhetsarbete. Till exempel ska tillhandahållare enligt 5 i driftsäkerhetsföreskrifterna minst en gång per år analysera risken för att dokumenterade tillgångar och förbindelser orsakar störningar eller avbrott i de kommunikationsnät och kommunikationstjänster som denne tillhandahåller. Även enligt PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter ska tjänstetillhandahållare analysera riskerna för att integritetsincidenter inträffar för informationsbehandlingstillgångar. PTS har efter tidigare tillsyn funnit anledning att misstänka att tillhandahållares arbete med genomförande av riskanalyser kan förbättras. PTS kommer därför att bedriva tillsyn över riskanalysarbetet, där myndigheten bl.a. ska granska om tillsynsobjektens process för riskanalys innefattar de delar som framgår av PTS föreskrifter. I denna tillsyn ingår dock inte att granska vilka skyddsåtgärder som tillsynsobjekten vidtar eller planerar att vidta för att avhjälpa identifierade risker. Tillsynen, som inletts i slutet av 2018 men i huvudsak bedrivs under 2019, kommer att genomföras genom skriftlig informationsinhämtning i kombination med möten med tillhandahållarna. Den planeras att omfatta ett urval av större tillhandahållare. 3.4 Driftsäkerhet vid förläggning av sjökablar PTS samarbetar med de nordiska motsvarigheterna till myndigheten bl.a. vad gäller tillsyn. Inom ramen för detta samarbete har det framkommit att den finska tillsynsmyndigheten har haft anledning att granska tillhandahållares hantering av sjökablar, efter att myndigheten noterat att dessa förbindelser förläggs på ett oskyddat sätt vid marknivå. PTS finner mot bakgrund av detta att det finns skäl att granska de svenska motsvarigheterna till dessa förbindelser, dvs. i synnerhet vad gäller skyddet där sjökablar övergår till att bli förbindelser på land. Förbindelser ska enligt PTS driftsäkerhetsföreskrifter alltid omfattas av en aktuell riskanalys. Tillhandahållaren är vidare skyldig att vidta de skyddsåtgärder som är nödvändiga med hänsyn till den risk för störning och avbrott som framkommit i riskanalysen. Såväl riskanalysen som tillhandahållarens bedömning av nivån på skyddsåtgärder ska dokumenteras. Mot bakgrund av reglerna om riskanalys och vidtagande av nödvändiga skyddsåtgärder avser PTS att granska hur ett urval tillhandahållare ser till att dessa förbindelser har en rimlig driftsäkerhetsnivå. Tillsynen, som kommer att bedrivas genom skriftlig informationsinhämtning, eventuellt i kombination med inspektion på plats, inleds under tredje kvartalet 2019. Post- och telestyrelsen 4

3.5 Sårbarheter i Border Gateway Protocol (BGP) Tjänstetillhandahållare är skyldiga att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. PTS har konstaterat att det föreligger kända sårbarheter i det routingprotokoll som tillämpas i de routrar som binder samman internet, Border Gateway Protocol (BGP). PTS har endast noterat någon enstaka nationell incident som inträffat som ett resultat av dessa sårbarheter, men det finns ett flertal incidenter som uppmärksammats internationellt. Mot bakgrund av detta kommer PTS under andra hälften av 2019 inleda en tillsyn över ett urval av de större tillhandahållarna i syfte att granska att dessa har tillräcklig kunskap om sårbarheterna och vidtar lämpliga åtgärder för att skydda information under överföring. Tillsynen kommer att bedrivas genom skriftlig informationsinhämtning i kombination med tillsynsmöten. 3.6 Tillhandahållarnas åtgärder för att säkerställa identitet på abonnenter vid kontakt med kundtjänst på distans Tjänstetillhandahållare är skyldiga att vidta nödvändiga åtgärder för att hantera risken för integritetsincidenter. PTS har konstaterat att flera incidentrapporter som inkommit till myndigheten rört att tillhandahållares medarbetare i kundtjänst inte på ett godtagbart sätt säkerställt att den som kontaktat kundtjänst är den som den utger sig för att vara och behörig, innan kundtjänstmedarbetaren t.ex. har lämnat ifrån sig uppgifter om en specifik abonnent eller gjort förändringar i abonnemanget som medfört att utomstående kunnat få del av abonnentens kommunikation. Mot bakgrund av dessa incidenter kommer PTS under första kvartalet 2019 inleda en tillsyn över ett urval tillhandahållare för att granska hur deras kundtjänstmedarbetare verifierar identiteten på abonnenter innan man utför vissa åtgärder inom ramen för tjänsten, såsom t.ex. aktivering av sim-kort, nummerportering och vidarekoppling av samtal. Tillsynen kommer att bedrivas genom skriftlig informationsinhämtning i kombination med tillsynsmöten. Post- och telestyrelsen 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss