KONSEKVENSUTREDNING Datum Vår referens 2013-11-08 Dnr: 13-10668 1(35) Nätsäkerhetsavdelningen Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter Post- och telestyrelsen (PTS) avser att med stöd av 34 a-b förordningen (2003:396) om elektronisk kommunikation utfärda föreskrifter om skyddsåtgärder. PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning. Redogörelse för uppskattning av kostnader, se bilaga 1. Förslag till föreskrifter och allmänna råd bifogas, se bilaga 2. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se
Innehåll 2(35) 1 Inledning... 4 1.1 Beskrivning av problemet och vad som ska uppnås... 4 1.2 Alternativ till föreslagna föreskrifter och allmänna råd... 7 1.2.1 Avvakta med att ta fram föreskrifter och allmänna råd... 7 1.2.2 Endast utfärda allmänna råd... 8 1.2.3 Detaljerade krav på hur i stället för teknikneutrala krav på vad 8 1.2.4 PTS bedömning av det mest lämpliga regleringsalternativet... 9 2 Aktörer som berörs av regleringen... 10 2.1 Berörd bransch, kategori av företag... 10 2.2 Antal företag som berörs och storlek på företagen... 10 3 Föreskrifternas innehåll... 12 3.1 Inledning... 12 3.2 Kostnadsmässiga och andra konsekvenser av de föreslagna kraven 13 3.2.1 Övergripande säkerhetsarbete... 13 3.2.2 Identifiering av informationstillgångar, riskanalys och skyddsåtgärder... 14 3.2.3 Åtkomst- och behörighetshantering... 15 3.2.4 Loggning... 17 3.2.5 Skydd mot oavsiktlig utplåning och förlust... 19 3.2.6 Kryptering... 20 3.2.7 Integritetsincidenter... 21 3.2.8 Sammanställda kostnader för kraven i föreskrifterna och de allmänna råden... 23 3.3 Påverkan på konkurrensförhållandena för företagen... 25 4 Övrigt... 26
4.1 Regleringens överensstämmelse med de skyldigheter som följer av Sveriges anslutning till EU... 26 3(35) 4.2 Behovet av särskilda hänsyn till små företag... 26 4.3 Tidpunkten för ikraftträdande, övergångsbestämmelser och behovet av speciella informationsinsatser... 27 5 Avslutning... 28 5.1 Underrättelse för anmälan till Europeiska kommissionen... 28 5.2 Kontaktpersoner... 28 Bilaga 1... 29 Beräkning av kostnader för föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter... 29
1 Inledning 4(35) Post- och telestyrelsen (PTS) är en central förvaltningsmyndighet och är den myndighet som bevakar området för elektronisk kommunikation i Sverige. I 6 kap. 3 lagen (2003:389) om elektronisk kommunikation (LEK) finns en regel som avser att säkerställa att den som tillhandahåller elektroniska kommunikationsnät och -tjänster bedriver verksamheten så att de uppgifter som behandlas i samband med tillhandahållandet av tjänsterna skyddas. Den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta lämpliga tekniska och organisatoriska åtgärder, med beaktande av tillgänglig teknik och kostnaderna för åtgärderna, som är ägnade att säkerställa en säkerhetsnivå som är anpassad till risken för integritetsincidenter. Enligt 6 kap. 4 b LEK ska den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster löpande föra en förteckning över integritetsincidenter. Enligt 34 a förordning (2003:396) om elektronisk kommunikation (FEK) får PTS utfärda föreskrifter om skyddsåtgärder enligt 6 kap. 3 LEK. Enligt 34 b andra stycket FEK får PTS också meddela föreskrifter om innehållet i en sådan förteckning över integritetsincidenter som avses i 6 kap. 4 b LEK. Syftet med nu föreslagna föreskrifter och allmänna råd är att säkerställa en hög nivå av integritetsskydd vid tillhandahållande av elektroniska kommunikationsnät och tjänster. Föreskrifterna ska vidare skapa förutsägbarhet och tydlighet kring reglerna samt avseende när och hur PTS kommer att bedriva tillsyn på området. 1.1 Beskrivning av problemet och vad som ska uppnås Den svenska marknaden för elektronisk kommunikation karaktäriseras av en ökad konkurrens och snabb teknikutveckling, vilket lett till ett brett och diversifierat utbud av tjänster. Inom sektorn finns i dag drygt 400 tillhandahållare av elektroniska kommunikationstjänster, allt från stora multinationella företag med stort tjänsteutbud till mindre operatörer, som erbjuder en begränsad mängd tjänster inom ett begränsat geografiskt område. Många funktioner i samhället är idag beroende av elektroniska kommunikationsnät och -tjänster. Privatpersoner och företag förlitar sig i allt större utsträckning på fungerande internetuppkoppling och telefonitjänster m.m. Drivkrafterna bakom det ökade beroendet av pålitlig elektronisk kommunikation är bland annat satsningar på e-tjänster inom offentlig och privat sektor, förändrad mediekonsumtion, framväxten av ip-tv-tjänster, utökad användning av molntjänster. Ett ökat användande av elektroniska kommunikationsnät och -tjänster ställer högre krav på integritetsområdet. Integritetsincidenter utgör ett potentiellt hot mot tilltron till elektroniska kommunikationstjänster, vilket kan få allvarliga och långtgående konsekvenser. Information som är viktig att skydda är bland annat
personuppgifter, trafikuppgifter, inloggningsuppgifter och affärshemligheter. En incident kan bero på bristande rutiner eller otillåten hantering av uppgifter hos en aktör eller genom yttre påverkan. När en sådan incident inträffar är det viktigt att titta på effekten av incidenten. 5(35) Den grundläggande regleringen om skydd av de uppgifter som behandlas i samband med tillhandahållandet av elektroniska kommunikationstjänster återfinns som ovan nämnts i 6 kap. 3 LEK, som lyder: Den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om skyddsåtgärder enligt första stycket. De skyddsåtgärder som avses i denna bestämmelse gäller i huvudsak de uppgifter som behövs för att avtalsförhållandet mellan leverantören och kunden kan fullgöras. De åtgärder som ska vidtas enligt bestämmelsen ska säkerställa ett tillräckligt skydd för all behandling av uppgifter vid tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster och allmänna kommunikationsnät. Genom 6 kap. 3 LEK har artikel 4 i e-komdataskyddsdirektivet (2002/58/EG) genomförts i svensk rätt med krav på nationella säkerhetsåtgärder i samband med tillhandahållande av elektroniska kommunikationstjänster och behandling av uppgifter. För att elektroniska kommunikationsnät ska fungera och tilliten till dem bibehållas krävs att tillhandahållarna av elektroniska kommunikationstjänster vidtar åtgärder för att säkerställa nätens säkerhet. Bestämmelsen är väsentligen oförändrad sedan LEK trädde i kraft 2003. Dock hänvisas sedan 2011 i första stycket sista meningen till risken för integritetsincidenter, ett begrepp som infördes i lagen tillsammans med en skyldighet för den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster att underrätta PTS om sådana incidenter (enligt 6 kap. 4 a LEK). Bemyndigandet för PTS att meddela föreskrifter i 6 kap. 3 andra stycket LEK infördes också i 2011. Till skyldigheten att rapportera integritetsincidenter infördes 2011 också en skyldighet att löpande föra en förteckning över sådana incidenter enligt 6 kap. 4 b LEK, som lyder: Den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster ska löpande föra en förteckning över integritetsincidenter.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om innehållet i en sådan förteckning. 6(35) Sedan 1 april 2012 finns detaljerade regler om rapportering av integritetsincidenter. 1 Denna nyligen införda skyldighet att underrätta PTS om inträffade integritetsincidenter, har en nära relation till bestämmelsen om tekniska och organisatoriska skyddsåtgärder i 6 kap. 3 LEK. Begreppet integritetsincident hänvisar till vissa oavsiktliga eller otillåtna förfaranden vars innebörd ska förstås mot bakgrund av skyldigheten att vidta skyddsåtgärder. Det finns således ett behov av att tydliggöra kraven på sådana åtgärder. PTS har i sitt arbete med att se över vilka åtgärder som bör omfattas av föreskrifterna utgått från olika standarder för informationssäkerhet som exempelvis ISO 27000 serien samt motsvarande integritetsskyddsreglering såväl nationellt som internationellt. I samband med framtagandet av förslaget till föreskrifter och allmänna råd har PTS bjudit in ett antal aktörer till en referensgrupp samt haft såväl gemensamma som enskilda möten där den tänkta regleringen har diskuterats. PTS har också genomfört möten med Datainspektionen. I den här konsekvensutredningen beskrivs förslaget till PTS föreskrifter och allmänna råd om skyddsåtgärder till skydd för uppgifter som behandlas i samband med tillhandahållande av en allmänt tillgänglig elektronisk kommunikationstjänst. Förslaget omfattar även en bestämmelse om innehållet i operatörens förteckning över integritetsincidenter, en bestämmelse som motsvarar 10 och 4 i PTS föreskrifter och allmänna råd om underrättelse om integritetsincidenter samt innehållet i förteckning över integritetsincidenter (PTSFS 2012:1). Dessa föreskrifter ska upphävas eftersom EU-kommissionen beslutat om en förordning 2 som reglerar rapporteringen av integritetsincidenter. Kommissionens förordning omfattar dock inte utformningen av tjänstetillhandahållarens förteckning över integritetsincidenter. PTS anser att det är angeläget att även fortsättningsvis reglera denna fråga. Som konstaterats ovan har det ökade behovet av elektroniska kommunikationer i Sverige lett till ökade krav på integritetsområdet och skydd av uppgifter vid tillhandahållande av en allmänt tillgänglig elektronisk kommunikationstjänst. Syftet med kraven i föreskrifterna och de allmänna råden är att precisera och förtydliga regeln i 6 kap. 3 LEK samt etablera en hög nivå av integritetsskydd för slutanvändaren, vilket bidrar till en hög tillit till elektroniska kommunikationstjänster. Det har fram till nu inte varit tydligt vad som avses med lämpliga tekniska och organisatoriska åtgärder och vilka konkreta krav 1 Sedan den 25 augusti 2013 gäller Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig integritet och elektronisk kommunikation. Innan dess tillämpades PTS föreskrifter och allmänna råd om underrättelse om integritetsincidenter samt innehållet i förteckning över integritetsincidenter (PTSFS 2012:1). 2 Kommissionens förordning (EU) 611/2013 av den 24 juni 2013 som trädde i kraft den 25 augusti 2013.
som ställs enligt 6 kap. 3 LEK. PTS avser nu att genom föreskrifter och allmänna råd ställa specifika krav på de aktörer som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst. PTS bedömer att tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster i stor utsträckning bedriver ett grundläggande säkerhetsarbete redan idag och de föreskrivna föreskrifterna och allmänna råden tydliggör därmed till viss del redan etablerade förhållanden på marknaden. PTS bedömer dock att tjänstetillhandahållarnas säkerhetsarbete i vissa avseenden behöver stärkas, bland annat avseende vad gäller dokumentation och incidenthantering. 7(35) PTS har valt att avgränsa kretsen av berörda som ska omfattas av den föreslagna regleringen mot bakgrund av att tillhandahållare av allmänna kommunikationsnät i huvudsak har att vidta andra slags skyddsåtgärder. Nätägare omfattas emellertid av den allmänt hållna bestämmelsen i 6 kap. 3 LEK, vilken är direkt tillämplig på dessa aktörer vid en eventuell tillsyn. 1.2 Alternativ till föreslagna föreskrifter och allmänna råd PTS har utvärderat följande alternativ till föreslagna föreskrifter och allmänna råd om skydd för uppgifter som behandlas i samband med tillhandahållande av en allmänt tillgänglig elektronisk kommunikationstjänst enligt 6 kap. 3 LEK: att avvakta med att ta fram föreskrifter och allmänna råd, att endast utfärda allmänna råd, eller att i föreskrifterna ställa tekniskt detaljerade krav på hur tillhandahållare ska uppnå ett visst skydd, istället för, som i föreliggande förslag, neutrala krav på vad som ska uppnås. Nedan redogör PTS för myndighetens bedömning av konsekvenserna av de olika regleringsalternativen. Den föreslagna föreskriften till 6 kap. 4 b LEK, om innehållet i förteckning över integritetsincidenter, är i sak oförändrad, jämfört med den befintliga föreskriften som utfärdades så sent som 2012. PTS ser inte någon anledning att ompröva behovet av en föreskrift på det området. 1.2.1 Avvakta med att ta fram föreskrifter och allmänna råd Ett alternativ som PTS har utvärderat är att tills vidare avvakta med att utfärda föreskrifter och allmänna råd. PTS har redan under 2012 utfärdat föreskrifter med stöd av bestämmelsen i 6 kap. 3 a LEK avseende lagring och annan behandling av uppgifter för brottsbekämpande ändamål (PTSFS 2012:4). Det innebär att det för närvarande finns en reglering avseende de särskilda krav som måste uppfyllas för sådan behandling, utan att motsvarande reglering finns av de grundläggande lämpliga krav som enligt 6 kap. 3 LEK gäller för all behandling av uppgifter i operatörens verksamhet. Enligt PTS mening kan avsaknaden av närmare reglering av de grundläggande kraven enligt 6 kap. 3 LEK försvåra aktörernas
möjligheter att bedöma de krav som gäller för de uppgifter som lagras för brottsbekämpande ändamål. 8(35) På motsvarande vis är det vad gäller reglerna om rapportering av integritetsincidenter, nödvändigt för tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster med en norm för säkerhetsarbetet som kan användas vid tolkningen av vad som utgör en integritetsincident. I avsaknad av föreskrifter och allmänna råd saknas en sådan tydlig norm. PTS tillsyn kan i viss mån ensa tillämpningen av reglerna om skydd av behandlade uppgifter och genom praxis skapa vägledande normer. Tillsynsförfarandet kan riskera att dra ut på tiden vilket innebär att det dröjer innan en etablerad praxis har uppnåtts. En fortsatt osäkerhet över hur lagstiftningen ska tolkas innebär även en osäkerhet rörande hur vidtagna skyddsåtgärder ska bedömas och kan medföra onödiga kostnader för aktörerna, genom t.ex. olämpliga investeringsbeslut. PTS bedömer därför att det inte är ett lämpligt alternativ att avvakta med föreskrifter och allmänna råd. 1.2.2 Endast utfärda allmänna råd När det gäller frågan huruvida det kan anses tillräckligt med endast allmänna råd i stället för föreskrifter och allmänna råd så gör PTS följande bedömning. Kännetecknande för en föreskrift är att den är bindande och generellt gällande. Allmänna råd skiljer sig från föreskrifter genom att de inte är bindande vare sig för myndigheter eller enskilda. Allmänna råd kan t.ex. rekommendera vilka skyddsåtgärder som bör vidtas i vissa situationer men det står ändå den enskilde fritt att välja en annan väg för att nå det önskade resultatet. PTS anser att de skyddsåtgärder för behandlade uppgifter som föreskriftsförslaget omfattar är nödvändiga för att säkerställa ett tillräckligt skydd enligt 6 kap. 3 LEK. Det är fråga om krav på grundläggande åtgärder för att åstadkomma en god informationssäkerhet och det finns, enligt PTS mening, inte några alternativa åtgärder som kan ge samma effekt. Kraven är därtill utformade på ett sådant sätt att de i vissa delar ger utrymme för tjänstetillhandahållarna att göra egna bedömningar av lämpliga åtgärder, inom ramen för ett föreskrivet krav. Kraven bör därför regleras i föreskriftsform. I de allmänna råden, som kompletterar föreskrifterna, rekommenderar PTS lämpliga sätt att närmare uppfylla de krav som framgår av föreskrifterna. 1.2.3 Detaljerade krav på hur i stället för teknikneutrala krav på vad När det gäller utformningen av de aktuella föreskrifterna finns möjligheten att ställa tekniskt detaljerade krav utifrån funktioner, system och arkitektur. Ett par exempel på sådana krav skulle kunna vara att föreskriva vilken typ av krypteringsteknik med en viss nyckellängd som ska användas eller att de utrymmen där utrustningen ska förvaras ska vara försedda med mekaniska inbrottsskydd som uppfyller krav enligt en viss norm. Fördelen med denna typ av mer detaljerade krav är att det är relativt lätt att kontrollera huruvida kraven efterlevs eller inte. Det skapar också god förutsebarhet och minimerar risken
för att berörda aktörer gör felaktiga investeringar till följd av felaktiga tolkningar av kraven. 9(35) Samtidigt innebär mer detaljerade krav att föreskrifterna kan behöva ändras oftare i takt med den tekniska utvecklingen. Ytterligare en svårighet med mer detaljerade krav är att föreskrifterna blir svårare att tillämpa på verksamheter av vitt skilda typer, både vad gäller verksamheternas inriktning men också verksamhetsutövarnas storlek. Det är till exempel inte säkert att samma tekniska lösning är lämplig i såväl en verksamhet med ett fåtal anställda där alla finns på ett driftsställe, som i en verksamhet med tusentals anställda spridda över flera länder. Ytterligare ett skäl att inte ha alltför detaljerade föreskrifter, är att de som bedriver verksamheten normalt sett har de bästa förutsättningarna att hitta de lämpligaste och mest kostnadseffektiva lösningarna själva inom de ramar som fastställts i föreskrifterna. Det skulle således bli betydligt dyrare för tjänstetillhandahållarna med detaljerade krav på hur i stället för vad. 1.2.4 PTS bedömning av det mest lämpliga regleringsalternativet Sammanfattningsvis anser PTS att det är angeläget att utfärda regler om skyddsåtgärder för behandlade uppgifter. Det är fråga om grundläggande krav för att upprätthålla det nödvändiga skyddet och dessa bör därför regleras i föreskriftsform med kompletterande allmänna råd. För att säkerställa teknikneutralitet och skalbarhet är det lämpligt att utforma regler som beskriver vad som ska uppnås, snarare än tekniskt detaljerade regler som beskriver hur detta ska uppnås. PTS anser att det är nödvändigt att meddela de föreslagna föreskrifterna och allmänna råden till 6 kap. 3 LEK.
2 Aktörer som berörs av regleringen 10(35) 2.1 Berörd bransch, kategori av företag 1 Dessa föreskrifter och allmänna råd innehåller bestämmelser om lämpliga tekniska och organisatoriska skyddsåtgärder som den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta enligt 6 kap. 3 lagen (2003:389) om elektronisk kommunikation. Föreskrifterna innehåller även bestämmelser om innehållet i en förteckning över integritetsincidenter enligt 6 kap. 4 b samma lag. Av 6 kap. 3 LEK framgår att den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst omfattas av skyldigheten att vidta lämpliga tekniska och organisatoriska skyddsåtgärder. Den som omfattas av skyldigheten enligt föreslagna föreskrifter och allmänna råd att vidta åtgärder benämns tjänstetillhandahållare. Föreskrifterna reglerar endast skyldigheter för tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster och inte tillhandahållare av allmänna kommunikationsnät, jämför ovan avsnitt 1.1. Föreskrifterna omfattar alltså inte de tillhandahållare av allmänna kommunikationsnät som inte också tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster. Föreskrifterna kan dock vara vägledande för de åtgärder som dessa aktörer är skyldiga att vidta enligt 6 kap. 3 första stycket andra meningen LEK. 2.2 Antal företag som berörs och storlek på företagen Drygt 500 olika organisationer har anmält till PTS att de tillhandahåller verksamhet som är anmälningspliktig enligt 2 kap. 1 LEK. Av dessa tillhandahåller drygt 400 allmänt tillgängliga elektroniska kommunikationstjänster. Marknaden för elektronisk kommunikation består av tjänsteleverantörer som inbördes visar upp stora skillnader i sina verksamheter. Även storleken på tjänsteleverantörernas verksamhet varierar stort. Det finns företag som har miljontals kunder och tusentals anställda med en verksamhet inte bara i Sverige utan även i andra länder. Samtidigt finns till exempel stadsnät och specialiserade tjänsteleverantörer med endast ett fåtal anställda som har något hundratal abonnenter och som endast verkar på lokal nivå. När det gäller marknadsandelar kan man dock konstatera att de fyra största tjänsteleverantörerna har ungefär 90 procent av det totala antalet abonnenter på fasta samtalstjänster respektive 97,5 procent av det totala antalet abonnenter på mobiltelefoni. När det gäller internetanslutningar har de fem största tjänsteleverantörerna sammantaget omkring 90 procent av abonnenterna. Huvuddelen av abonnenterna återfinns således hos ett relativt litet antal tjänsteleverantörer. Det innebär samtidigt att en stor andel av de företag som berörs av den föreslagna regleringen är små och medelstora.
Med utgångspunkt från totala slutkundsintäkter för alla elektroniska kommunikationstjänster 3 framgår att 5 aktörer innehar över 3 % vardera (sammanlagt drygt 86 % av marknaden), 23 aktörer innehar mer än 0,1 % men mindre än 3 % vardera och resterande aktörer innehar mindre än 0,1 % vardera av den totala marknaden. Som utgångspunkt för bedömningen av de administrativa kostnader som uppstår som en följd av dessa föreskrifter och allmänna råd används dessa grupper som stora (större än 3 %), medelstora (mindre än 3 % men större än 0,1 %) och små aktörer (mindre än 0,1 %). 11(35) 3 Enligt PTS rapport Svensk Telemarknad 2012, PTS-ER-2013:15.
3 Föreskrifternas innehåll 12(35) 3.1 Inledning Föreskrifterna och de allmänna råden innehåller krav på skyddsåtgärder som är nödvändiga för att säkerställa ett tillräckligt skydd av de uppgifter som behandlas i samband med tillhandahållandet av elektroniska kommunikationstjänster. Kraven omfattar grundläggande organisatoriska åtgärder men föreskriver även en metod för att fastställa de specifika kraven för verksamhetens informationstillgångar inom ett antal viktiga områden. Genomgående syftar kraven till att säkerställa att tjänstetillhandahållarna bedriver ett långsiktigt, kontinuerligt och systematiskt säkerhetsarbete. 2 I dessa föreskrifter och allmänna råd avses med Behandlade uppgifter: uppgifter som behandlas i samband med tillhandahållande av tjänsten enligt 6 kap. 3 lagen (2003:389) om elektronisk kommunikation. Informationstillgångar: system, databaser, fysiska tillgångar som används för informationsbehandling. Integritetshot: möjlig händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till behandlade uppgifter. Tjänstetillhandahållare: aktör som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster. För att underlätta förståelsen redogörs i 2 av de föreslagna föreskrifterna vad som i dessa föreskrifter och allmänna råd avses med tjänstetillhandahållare, jämför ovan avsnitt 2.1, samt ytterligare tre definitioner. De lämpliga skyddsåtgärderna ska vidtas till skydd för behandlade uppgifter som behandlas i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster; exempelvis trafikuppgifter, abonnemangsuppgifter och innehållet i elektroniska meddelanden. Med informationstillgångar avses system, databaser och fysiska tillgångar som används för informationsbehandling; exempelvis kundadministrativa system och nätelement i mobila nät som HLR/VLR 4. Dessa tillgångar ska skyddas mot integritetshot, vilket innefattar en möjlig händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till behandlade uppgifter. 4 HLR står för Home location register och VLR står för Visitor location register.
3.2 Kostnadsmässiga och andra konsekvenser av de föreslagna kraven Nedan beskrivs de enskilda kraven och PTS bedömning av dess konsekvenser för berörda företag. 13(35) En mer detaljerad redogörelse för PTS uppskattning av engångs- och löpande årliga administrativa kostnader återfinns i bilaga 1. Där återfinns även en förklaring till hur uppskattningarna har gjorts. Kostnadsberäkningarna bygger på en kombination av kostnaderna för åtgärder enligt föreskrifter, uttolkade i enlighet med allmänna råd. Utrymmet för alternativa åtgärder enligt de allmänna råden bedöms inte påverka kostnadsberäkningarna i någon större utsträckning. De allmänna råden är inte kravställande utan de är utformade som förtydliganden till föreslagna specifika krav i föreskrifterna. De allmänna råden medför därför inte i sig några kostnader. 3.2.1 Övergripande säkerhetsarbete 3 Tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter ska bedrivas långsiktigt, kontinuerligt och systematiskt. I säkerhetsarbetet ska det finnas en tydlig rollfördelning med särskilt utpekade ansvariga. Rutiner, processer och rollfördelning för säkerhetsarbetet ska dokumenteras. Det är viktigt att tjänstetillhandahållare som hanterar och bearbetar behandlade uppgifter kan säkerställa att uppgifterna skyddas på ett lämpligt sätt för att kunna leva upp till 6 kap. 3 LEK samt att en hög skyddsnivå bidrar till en hög tillit till elektroniska kommunikationstjänster. Allmänt gäller att ju känsligare uppgifterna är desto mer omfattande behöver säkerhetsåtgärderna vara. Kravet på ett systematiskt säkerhetsarbete syftar till att minimera risken för otillåtna eller onödiga ingrepp i abonnenters och användares personliga integritet och att maximera verksamhetens förmåga att hantera de incidenter som trots allt inträffar. De åtgärder som avses är såväl tekniska som organisatoriska. Grundläggande när det gäller informationssäkerhetsarbete i en organisation är en tydlig ansvarsfördelning, administrativa rutiner och övergripande krav på ITinfrastruktur. Säkerhetsarbetet ska innefatta åtgärder för att skydda behandlade uppgifter mot identifierade hot och att minimera risker. Säkerhetsarbetet kan också innefatta att utforma, införa, övervaka, granska och förbättra dessa åtgärder. Till stöd för att kunna bedriva ett systematiskt säkerhetsarbete finns flera verktyg i form av t.ex. olika standarder i ISO/IEC 27000-serien. Såvitt PTS känner till, arbetar merparten av tjänstetillhandahållarna aktivt med säkerhetsfrågor och har en organisation på plats med särskilt utpekade roller och ansvariga. PTS utgår från att en säkerhetsorganisation inte behöver inrättas från grunden. Beroende på hur väl utvecklade respektive aktörs säkerhetsorganisationer är i dagsläget föranleder kravet nödvändiga justeringar. PTS bedömer dock att utan krav på ett systematiskt säkerhetsarbete kan inte en rimlig grundläggande nivå av säkerhet uppnås och upprätthållas på lång sikt.
Kravet på dokumentation är en förutsättning för att möjliggöra uppföljning av införda säkerhetsåtgärder både för tjänstetillhandahållaren och för PTS i egenskap av tillsynsmyndighet. 14(35) Kostnaderna avser därför den dokumentation som kraven i föreskrifterna medför och behovet av att hålla det samman för att kunna bedriva ett långsiktigt, systematiskt och kontinuerligt säkerhetsarbete. Vi bedömer därför de tillkommande administrativa kostnaderna till en engångskostnad om ca 17,7 miljoner kronor och årliga kostnader om ca 4 miljoner kronor. För detaljerade beräkningar och uppskattningar se bilaga 1. PTS bedömer att nyttan överväger kostnaderna då detta krav bidrar till en hög grundläggande skyddsnivå samt för med sig en hög tillit till elektroniska kommunikationstjänster. 3.2.2 Identifiering av informationstillgångar, riskanalys och skyddsåtgärder 4 Tjänstetillhandahållaren ska identifiera informationstillgångar där behandlade uppgifter förekommer och föra en förteckning över dessa. Tjänstetillhandahållaren ska i sitt säkerhetsarbete årligen och vid behov följa upp att förteckningen är aktuell. Tjänstetillhandahållaren ska analysera riskerna för att integritetshot inträffar för de identifierade informationstillgångarna. Riskanalyserna ska dokumenteras och följas upp årligen och vid behov. Tjänstetillhandahållaren ska vidta de skyddsåtgärder som föreskrivs i 6-9 liksom andra nödvändiga skyddsåtgärder, på den nivå som är lämplig för att hantera de identifierade riskerna. Vidtagna skyddsåtgärder liksom tjänstetillhandahållarens bedömningar av lämplig nivå ska dokumenteras och följas upp årligen och vid behov. Allmänt råd Tjänstetillhandahållarens vidtagna skyddsåtgärder bör följa etablerade standarder, normer och praxis. En grundläggande förutsättning för att tjänstetillhandahållarna ska kunna vidta lämpliga åtgärder, upprätthålla en hög skyddsnivå och följa upp säkerhetsarbetet är att de har en samlad bild över de informationstillgångar där uppgifter behandlas i samband med tillhandahållandet av elektroniska kommunikationstjänster. I den mån detta inte redan finns måste således samtliga informationstillgångar kartläggas. När tillgångarna har identifierats ska en analys och dokumentation göras av tillgångarna samt vilka säkerhetsåtgärder som behöver vidtas. Inom ramen för ett sådant arbete måste tjänstetillhandahållarna analysera de särskilda hot och risker som kan finnas för en enskild tillgång eller för en grupp av tillgångar, för att kunna vidta rätt säkerhetsåtgärder. Omfattningen av skyddet styrs av den riskanalys som ska göras av respektive tillgång. För att leva upp till kravet på lämpliga
skyddsåtgärder bör tjänstetillhandahållarnas val av skyddsåtgärder följa för marknaden etablerade standarder, normer och praxis. 15(35) PTS utgår från att tjänstetillhandahållarna redan har dokumenterat sina informationstillgångar, bland annat mot bakgrund av de krav som följer av personuppgiftslagen (1998:204), PuL. Redan av det generella krav som finns i 6 kap. 3 LEK följer också att rutiner, processer och viss dokumentation ska finnas. PTS bedömer att det stora flertalet tillhandahållare arbetar med riskanalys, framförallt utifrån ett kommersiellt perspektiv. Dokumentationen av tillgångar och riskanalyser är dock sannolikt inte samlad. Det krav som nu ställs i föreslagna föreskrifter är att vissa särskilt utpekade skyddsåtgärder (6-9 ) ska vidtas men därutöver ska tjänstetillhandahållarnas riskanalyser visa vilka ytterligare skyddsåtgärder samt vilken nivå som krävs för att leva upp till kravet på lämpliga skyddsåtgärder till skydd för behandlade uppgifter. Den föreslagna bestämmelsen medför därför ett visst arbete för tjänstetillhandahållarna att skapa en dokumenterad helhetsbild över säkerhetsarbetet och arbeta med utökade riskanalyser jämfört med idag samt hålla förteckning och riskanalyser uppdaterade mot bakgrund av föreslagna krav. En fördel med att låta en riskanalys avgöra nivån på åtgärderna och vad som ska anses vara en lämplig skyddsåtgärd i det enskilda fallet är att tjänstetillhandahållarna i största möjliga utsträckning kan ta hänsyn till den egna verksamhetens förutsättningar. Därvid får hänsyn tas till tillgänglig teknik och kostnaderna för att genomföra åtgärderna i den specifika verksamheten vilket leder till de lämpligaste och mest kostnadseffektiva investeringsbesluten eller åtgärderna. PTS bedömer de tillkommande administrativa engångskostnaderna till ca 15 miljoner kronor och därtill ca 7,4 miljoner kronor årligen. För detaljerade beräkningar och uppskattningar hänvisas till bilaga 1. PTS bedömer att nyttan överstiger kostnaden då detta krav på ett arbetssätt innefattande utökade riskanalyser tillsammans med en samlad dokumentation ger de bästa förutsättningarna för ett långsiktigt, kontinuerligt och systematiskt säkerhetsarbete som är effektivt och kostnadsmedvetet. 3.2.3 Åtkomst- och behörighetshantering 5 Tjänstetillhandahållaren ska säkerställa att åtkomst till behandlade uppgifter endast ges till den som 1. behöver det för att utföra sina arbetsuppgifter, 2. har relevant utbildning med hänsyn till de uppgifter denne hanterar och 3. har upplysts om tystnadsplikten i 6 kap. 20 21 lag (2003:289) om elektronisk kommunikation.
16(35) Allmänt råd En relevant utbildning bör innehålla information om: när och hur behandlade uppgifter får hanteras, tänkbara konsekvenser av en inträffad integritetsincident för abonnenter och användare, tecken på att en integritetsincident har inträffat, hur rapportering av integritetsincidenter ska ske och hur uppföljning av integritetsincidenter sker i organisationen. För att tjänstetillhandahållaren ska kunna säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas i enlighet med 6 kap. 3 LEK och för att förhindra obehörig användning eller åtkomst ska det finnas regler för åtkomst- och behörighetshantering. Den nu föreslagna bestämmelsen innehåller den grundläggande principen att enbart personal, medarbetare eller uppdragstagare som behöver det i sitt arbete får ges tillgång till behandlade uppgifter. De som har behov av de behandlade uppgifterna i sitt arbete ska vidare ha tillräcklig kunskap för att upprätthålla skyddet för de uppgifter de hanterar varför det ställs krav på relevant utbildning för att få hantera uppgifterna och kunna upprätthålla skyddet för uppgifterna. De som ges tillgång ska därutöver ha upplysts om den tystnadsplikt som gäller. PTS bedömer att merparten av aktörerna arbetar med åtkomst- och behörighetshantering. Kostnadsuppskattningen baserar sig på tiden för att ta fram utbildningsmaterial och rutiner för utbildning. PTS bedömer tillkommande administrativa kostnader till engångskostnader om ca 7,8 miljoner kronor, för detaljerade beräkningar och uppskattningar se bilaga 1. Nyttan av kravet i 5 bedöms överväga kostnaderna då bestämmelsen syftar till att maximera skyddet för behandlade uppgifter samt minimera risken för integritetsincidenter i den egna verksamheten. Därtill bedömer PTS att det tillkommer icke-administrativa kostnader för skyddsåtgärder i syfte att förhindra obehörig användning eller åtkomst däribland hålla utbildningsmaterial uppdaterat och fortlöpande utbilda sin personal, främst kundtjänstpersonal, men även andra anställda och uppdragstagare som butiksanställda, partners och entreprenörer. För små operatörer bedöms detta arbete innebära ytterligare 20 timmar årligen, för medelstora operatörer ytterligare 100 timmar årligen och för stora operatörer bedöms detta arbete innebära 400 timmar per år.
17(35) 6 Tjänstetillhandahållaren ska tilldela behörighet i enlighet med vad som föreskrivs i 5. Tjänstetillhandahållaren ska ha dokumenterade rutiner för tilldelning, ändring och uppföljning av behörigheter. Uppföljning av tilldelade behörigheter ska ske årligen. Tjänstetillhandahållaren ska ha system för identitets- och åtkomsthantering som säkerställer att åtkomst endast medges i enlighet med tilldelade behörigheter. För att minimera riskerna för till exempel otillåten åtkomst till behandlade uppgifter är det viktigt att genom behörighetsstyrning begränsa åtkomsten till uppgifterna. Enbart den som har behov av uppgifterna för att fullgöra sina arbetsuppgifter ska få åtkomst. PTS bedömer att det stora flertalet tjänstetillhandahållare sedan tidigare har rutiner och system för att hantera och tilldela behörigheter och i viss utsträckning lever upp till detta krav redan idag. Dock finns anledning att se över rutinerna för behörighetstilldelningen samt regelbundet och vid behov följa upp anställdas behörigheter. Kostnaderna härrör sig till etablering av en rutin för behörighetsadministration, inklusive tillägg, ändring och borttagande av behörigheter. Tillkommande årliga kostnader avser drift och underhåll av system för behörighetshantering. PTS bedömer tillkommande administrativa kostnader om ca 4,4 miljoner kronor i engångskostnader och ca 4,6 miljoner kronor i årliga kostnader, för detaljerade beräkningar och uppskattningar se bilaga 1. Nyttan av kravet i 6 bedöms av PTS överväga kostnaderna då detta är nödvändigt inom ramen för ett kontinuerligt och systematiskt säkerhetsarbete och bidrar till ett högt skydd för behandlade uppgifter. 3.2.4 Loggning 7 Tjänstetillhandahållaren ska dokumentera (logga) all läsning, kopiering, ändring och utplåning av behandlade uppgifter samt åtkomst till de system som används för behandling av sådana uppgifter. Loggning ska ske på ett sådant sätt att det går att se vem som har vidtagit vilken åtgärd med vilka uppgifter och vid vilken tidpunkt. Tjänstetillhandahållaren ska systematiskt och återkommande kontrollera loggarna. Kontrollerna får avgränsas till att omfatta utvalda behandlingar under begränsade tidsperioder, om kostnaderna för kontrollen motiverar en sådan avgränsning. Tjänstetillhandahållaren ska dokumentera genomförda kontroller av loggar. Vid misstanke om att en integritetsincident har inträffat ska relevanta loggar alltid kontrolleras. Tjänstetillhandahållaren ska ha dokumenterade rutiner för kontroll av loggar.
18(35) Allmänt råd Kontroll av loggar bör ske med den periodicitet som är lämplig med hänsyn till verksamhetens omfattning, antalet personer med behörighet, hur behörigheterna tilldelas och hur omfattande kontrollen är. Loggning är en förutsättning för att kunna upptäcka integritetsincidenter och utreda vad som hänt. Medarbetarna och den mänskliga faktorn utgör de största riskerna i ett IT-system. Kännedom om att loggning sker kan ha en preventiv effekt vilket kan medföra att färre integritetsincidenter inträffar. Loggningen av behandlade uppgifter ska avse all läsning, kopiering, ändring och utplåning av uppgifter. Även åtkomst till system där behandlade uppgifter finns ska loggas. Det innebär att loggningen även ska omfatta systemadministrativ åtkomst till berörda system, såsom datorer, servrar, nätelement m.m. Tjänstetillhandahållarna bör sträva efter ett system som kontrollerar samtliga loggar för att finna avvikelser från normala användarmönster. Sådan automatiserad kontroll av loggar förekommer inom annan verksamhet där känsliga uppgifter behandlas, till exempel inom sjukvården och hos brottsbekämpande myndigheter. I den dialog PTS har fört med tjänstetillhandahållare i referensgruppen, under utarbetandet av förslaget till föreskrifter och allmänna råd, har tjänstetillhandahållarna framfört att det för närvarande saknas liknande system för automatiserad logguppföljning inom verksamheter som tillhandahåller elektroniska kommunikationstjänster. PTS anser därför inte att det i nuläget är rimligt att kräva att samtliga loggar kontrolleras i sin helhet. Istället ska det vara tillåtet att avgränsa kontrollerna och till exempel genomföra manuella stickprovskontroller. Det bör dock understrykas att sådana kontroller, för att vara effektiva, måste ske regelbundet och på ett systematiskt sätt för att maximera sannolikheten att oegentligheter upptäcks. Utöver den regelbundna uppföljningen av loggar ska relevanta loggar alltid kontrolleras vid misstanke om att en integritetsincident har inträffat. Detta torde redan ingå i rutinerna för hantering av incidenter hos flertalet tjänstetillhandahållare och kravet torde därför inte medföra några väsentliga tillkommande kostnader. PTS har kunnat konstatera att flertalet av tjänstetillhandahållarna har system för loggning men att uppföljning av loggar endast görs i begränsad omfattning. Kostnaderna för det nu aktuella kravet härrör sig till implementering av rutiner för hantering av loggsystem för läsning, ändring och utplåning av behandlade uppgifter samt konfigurering. Tjänstetillhandahållarna ska vidare tillgodose att kapacitet finns för att automatiskt eller manuellt analysera loggar regelbundet och systematiskt samt underhålla och kontrollera sina system. Tjänstetillhandahållaren ska ha dokumenterade rutiner för kontroll av loggarna. PTS bedömer framförallt att administrationen av uppföljningen av loggarna är en kostnadsdrivande faktor.
PTS bedömer de tillkommande administrativa kostnaderna till engångskostnader om ca 8,8 miljoner kronor och ca 9,3 miljoner kronor i årliga kostnader, för detaljerade beräkningar och uppskattningar se bilaga 1. 19(35) Regelbunden uppföljning av loggarna utgör en viktig del i ett systematiskt, kontinuerligt och långsiktigt säkerhetsarbete. Den kostnad som sådana kontroller medför får, enligt PTS bedömning anses rimlig mot bakgrund av nyttan. Avsaknad av systematisk och återkommande uppföljning förtar mycket av värdet av loggningen och minskar möjligheterna att upptäcka de integritetsincidenter som inträffar i verksamheten. 3.2.5 Skydd mot oavsiktlig utplåning och förlust 8 Tjänstetillhandahållaren ska vidta åtgärder för att säkerställa att behandlade uppgifter som varaktigt lagras skyddas mot oavsiktlig utplåning eller förlust. Informationstillgångar där behandlade uppgifter varaktigt lagras ska placeras i utrymmen som har skydd mot intrång. Tjänstetillhandahållaren ska ha dokumenterade rutiner för placering av dessa informationstillgångar. Allmänt råd Säkerställande av skydd mot oavsiktlig utplåning eller förlust bör ske genom säkerhetskopiering. Återläsning av säkerhetskopior bör verifieras årligen. Utplåning och förlust av uppgifter kan medföra skada för såväl tjänstetillhandahållaren som berörda abonnenter och användare. Som utgångspunkt bör därför skydd mot integritetsincidenter säkerställas genom säkerhetskopiering men det kan även finnas andra tekniker som ger ett likvärdigt skydd. Säkerhetskopiering har framför allt till syfte att återställa enskilda uppgifter som gått förlorade. I ett kontinuerligt, systematiskt och långsiktigt säkerhetsarbete är det rimligt att möjligheten att återskapa säkerhetskopierade behandlade uppgifter åtminstone verifieras årligen och därtill vid behov. Informationstillgångar där behandlade uppgifter varaktigt lagras ska på lämpligt sätt fysiskt skyddas mot intrång. De aktuella föreskrifterna ställer ett specifikt krav på fysiskt skydd av tillgångarna som har en direkt koppling till att säkerställa skyddet för behandlade uppgifter ur ett integritetsskyddsperspektiv. Andra fysiska skyddsåtgärder som tjänstetillhandahållare kan och bör vidta härrör från ett driftsäkerhetsperspektiv. Rutinerna för placering av informationstillgångarna ska dokumenteras. Kostnaderna härrör sig till införande av skydd för varaktigt lagrade uppgifter och den årliga prövningen av skyddet. PTS bedömer att det stora flertalet tjänstetillhandahållare redan har skydd mot oavsiktlig utplåning eller förlust
men att verifiering sannolikt inte sker i den utsträckning som från och med nu kommer att krävas samt att dokumentationen inte är fullgod i dagsläget. 20(35) PTS bedömer de tillkommande administrativa kostnader till engångskostnader om ca 3,6 miljoner kronor och ca 1,9 miljoner kronor i årliga kostnader, för detaljerade beräkningar och uppskattningar se bilaga 1. Nyttan bedöms av PTS överväga kostnaderna då detta krav är grundläggande för att skapa bra förutsättningar för att skydda behandlade uppgifter mot oavsiktlig utplåning eller förlust. 3.2.6 Kryptering 9 Behandlade uppgifter som överförs via internet ska skyddas genom kryptering. Detta gäller inte vid enstaka överföring till berörd abonnent eller användare om denne har samtyckt till att överföringen sker utan kryptering. Kryptering ska ske med en allmänt erkänd krypteringsmetod med tillräcklig nyckellängd. Krypteringsnycklar ska hanteras på ett säkert sätt. Tjänstetillhandahållaren ska ha dokumenterade rutiner för kryptering och hantering av krypteringsnycklar. Syftet med bestämmelsen är att förhindra otillåten åtkomst eller otillåtet avslöjande av behandlade uppgifter som överförs via internet. Sådan överföring kan till exempel ske när tjänstetillhandahållaren erbjuder abonnenter möjlighet att ta del av specificerade räkningar eller göra ändringar i sina abonnemang via en webbtjänst. Det kan även röra sig om åtkomst till abonnentuppgifter som ges till återförsäljare eller entreprenörer via system som tillhandahålls av tjänstetillhandahållaren över internet. Enstaka överföring av behandlade uppgifter kan ske utan kryptering om berörd abonnent eller användare har samtyckt till detta, exempelvis vid förfrågningar hos kundtjänst. Kryptering kan åstadkommas bland annat genom användning av SSL/TLS 5 för åtkomst till webbtjänster eller genom uppkoppling via en så kallad VPNtunnel 6, vilka utgör exempel på allmänt erkända krypteringsmetoder som ska användas. Det sker en ständig utveckling inom området och den allmänna uppfattningen om säkerhetsnivån i en viss krypteringsmetod kan snabbt förändras, om metoder för att kringgå krypteringen uppdagas. PTS anser därför att det inte är lämpligt att närmare specificera vilken krypteringsmetod som ska användas. PTS konstaterar att kryptering redan används av de flesta tjänstetillhandahållarna. De administrativa kostnaderna avser främst de 5 SSL/TLS är en standard som främst används för att krypteringsskydda kommunikationen. 6 VPN står för Virtual Private Network och är en teknik som används för att skapa säkra förbindelser, s.k. tunnlar.
dokumenterade rutinerna som behöver tas fram för när kryptering ska användas och administration för säker nyckelhantering. 21(35) PTS bedömer de tillkommande administrativa kostnader till engångskostnader om ca 3,5 miljoner kronor och ca 3,4 miljoner kronor i årliga kostnader, för detaljerade beräkningar och uppskattningar se bilaga 1. PTS bedömer att detta krav är motiverat då nyttan klart överväger kostnaderna. Genom kryptering gör man information svårläslig för alla som inte ska kunna läsa den, vilket är nödvändigt när integritetskänsliga uppgifter kommuniceras över ett öppet nät såsom internet. 3.2.7 Integritetsincidenter 10 Tjänstetillhandahållaren ska ha dokumenterade rutiner för identifiering, intern rapportering, hantering och uppföljning av integritetsincidenter. Rutinerna ska säkerställa 1. att samtliga uppgifter i 11 förs in i den förteckning som tjänstetillhandahållaren ska föra enligt 6 kap. 4 b lag (2003:389) om elektronisk kommunikation, 2. att inträffade integritetsincidenter och dess orsaker beaktas vid genomgång av riskanalyser i enlighet med 4, och 3. att skyddsåtgärder vidtas för att undvika liknande integritetsincidenter. Dokumenterade rutiner för att upptäcka, internt rapportera och åtgärda integritetsincidenter underlättar tjänstetillhandahållarnas arbete med att säkerställa att sådana incidenter fångas upp och tas om hand. Skyldigheten för operatörer att rapportera integritetsincidenter framgår av 6 kap. 4 a LEK och Kommissionens förordning om åtgärder tillämpliga på anmälan av personuppgiftsbrott. Hos flertalet aktörer finns därför redan väl utvecklade rutiner och system för att upptäcka incidenter i syfte att leva upp till rapporteringsskyldigheten. Den ekonomiska konsekvensen av kravet på dokumenterade rutiner för en enskild aktör är därför mycket beroende av hur dennes befintliga säkerhetsarbete ser ut idag. Aktörer som har ett sedan tidigare mindre ambitiöst säkerhetsarbete drabbas hårdare ekonomiskt då de måste lägga resurser på att bygga upp sin förmåga att hantera incidenter. PTS bedömer att merparten av aktörerna har system och rutiner för incidenthantering, men det är inte alltid dessa finns dokumenterade. Den föreslagna bestämmelsen innebär således huvudsakligen kostnader vad gäller dokumentation men även implementering av rutiner i syfte att anpassa befintliga tekniska system, organisatoriska förändringar och informationsspridning samt utbildning av personal för att säkerställa att kraven efterlevs. PTS bedömer tillkommande administrativa kostnader till engångskostnader om ca 3,6 miljoner kronor och ca 3,6 miljoner kronor i årliga kostnader, för detaljerade beräkningar och uppskattningar se bilaga 1. Nyttan bedöms av PTS överstiga kostnaderna för detta krav då efterlevnad av detta krav ger
förutsättningar för att upprätthålla skyddet av behandlade uppgifter. Efterlevnad av kravet är också nödvändigt för att till fullo kunna leva upp till de krav som finns på rapportering av integritetsincidenter till PTS, i enlighet med Kommissionens förordning. 22(35) 11 En förteckning över integritetsincidenter enligt 6 kap. 4 b lag (2003:389) om elektronisk kommunikation ska innehålla 1. datum då integritetsincidenten inträffade, 2. en beskrivning av integritetsincidenten, 3. uppskattat antal berörda abonnenter eller användare, 4. bedömda konsekvenser av integritetsincidenten, 5. orsak till att integritetsincidenten inträffade, 6. de åtgärder som vidtagits och 7. referensnummer. Förteckningen ska hållas uppdaterad. Kommissionens förordning om åtgärder tillämpliga på anmälan av personuppgiftsbrott trädde i kraft den 25 augusti 2013. PTS föreskrifter och allmänna råd om underrättelse om integritetsincidenter samt innehållet i förteckning över integritetsincidenter, PTSFS 2012:1, kan därmed inte längre tillämpas i de delar som regleras av Kommissionens förordning. PTS har därför för avsikt att upphäva dessa föreskrifter och allmänna råd. Kommissionens förordning reglerar dock inte innehållet i den förteckning över integritetsincidenter som tjänstetillhandahållarna är skyldiga att föra enligt 6 kap. 4 b LEK. Den bestämmelse i PTSFS 2012:1 som rör innehållet i förteckningen bör därför bibehållas. Den nu föreslagna bestämmelsen är därför i sak oförändrad jämfört med tidigare. Syftet med en intern förteckning är dels att det förenklar för PTS vid en eventuell tillsyn, dels att aktörerna själva får kontroll över de incidenter som inträffar och på vilket sätt de hanteras. Förteckningen underlättar också det långsiktiga och systematiska säkerhetsarbetet, särskilt vid uppföljningar av riskanalyser. System inom vilka man för en logg över incidenter med uppgift om när de inträffat, vad de inneburit och vilka åtgärder som vidtagits ska redan finnas hos berörda aktörer, för att kunna leva upp till ovan angiven förordning samt ännu inte upphävda bestämmelser i PTSFS 2012:1. För utredning och bedömning av den administrativa kostnaden för kravet på en intern förteckning över integritetsincidenter hänvisas till den konsekvensutredning som gjordes i samband med framtagande av föreskrifter och allmänna råd om underrättelse om integritetsincidenter samt innehållet i