Bilaga 1 Krav på säkerhet för Brevlådeoperatörer

Bilaga till Allmänna villkor för Mina meddelanden. Börjar gälla 1 juli 2025.

Ändringar gjorda i Bilaga 1 Krav på säkerhet

  • Bilaga 1 är till stor del ändrad i struktur och innehåll. Nya eller ändrade krav speglar ett starkare fokus på datasäkerhet, spårbarhet och hantering av risker i verksamheten. Nedan listas några av ändringarna.
  • K 1.5 Tillägg att även leveranskritiska processer omfattas
  • K 2.1 Hänvisningen till "detta dokument" har ersatts med "de Allmänna villkoren," och LIS ska baseras på den aktuella utgåvan av ISO/IEC 27001 eller likvärdiga standarder. Utökning av detaljer: Tidigare separata punkter (K2.2 – K2.7) har införlivats som underpunkter (a-f) under K2.1. Kraven har utökats och preciserats, inklusive: tydligare krav att utreda incidenter och Infört krav på riskbaserat arbetssätt. Skärpt krav om att riskbaserad analys av hot och sårbarheter av verksamhet ska ske minst var 12 månad istället för som tidigare ”löpande”.
  • K 3.1 Infört krav på dokumentation som styrker efterlevnad av säkerhetskrav.
  • K 3.2 Krav på spårbarhet i IT-system på individ- och processnivå, med säkerhetsloggning och skyddade tidsangivelser.
  • K 3.3 Förlängd bevarandetid från 2 till 5 år för säkerhetslogg och annan säkerhetsrelaterad information samt införande av bevarandetid om 5 år för dokumentation som styrker efterlevnaden av säkerhetskrav.
  • K 3.4 Tydliggörande krav på säkerhetskopiering med fysiskt separerade lagringsmiljöer och regelbundna tester av rutiner för återläsning.
  • K 4.2 Krav på att löpande pröva behov av fortbildning och förnyad lämplighetsbedömning.
  • K 5.6 Krav på rutiner för säker radering.
  • K 5.10 Krav på tillämpning av metod och riktlinjer för säker programutveckling vid egenutveckling.
  • K 7.1 Tydligare krav på internrevision. Ändring till att internrevisionen är en återkommande aktivitet, utan slut, med risk- och väsentlighetsanalys som grund.

1. Övergripande krav på verksamheten

K1.1 Brevlådeoperatör som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar.

K1.2 Brevlådeoperatören ska ha förmåga att bära risken för skadeståndsskyldighet samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år.

K1.3 Brevlådeoperatören ska ha en etablerad verksamhet, vara fullt operationell i alla delar som berörs i denna Bilaga, och vara väl insatt i de rättsliga krav som ställs på denne genom de Allmänna villkoren för tillhandahållare av Brevlådeoperatörstjänst.

K1.4 Tjänsten som omfattas av de Allmänna villkoren ska i dess helhet produceras inom EU/EES.

K1.5 En Brevlådeoperatör som i enlighet med de Allmänna villkoren har anlitat underleverantör för utförandet av ett eller flera säkerhets- eller leveranskritiska åtaganden, ska genom skriftligt avtal definiera vilka kritiska åtaganden som underleverantören är ansvarig för och vilka säkerhetskrav som är tillämpliga för dessa åtaganden.

2. Informationssäkerhet

K2.1 Brevlådeoperatören ska för de delar av verksamheten som berörs genom de Allmänna villkoren, med utgångspunkt i ett Ledningssystem för informationssäkerhet (LIS) som i tillämpliga delar baseras på aktuell utgåva av ISO/IEC 27001 eller motsvarande vedertagna principer, bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Detta avses bland annat, men inte begränsat till, innefattande att:

a. Samtliga säkerhetskritiska administrativa, organisatoriska och tekniska processer och rutiner ska vara dokumenterade och vila på en formell grund, där roller, ansvar och befogenheter finns tydligt definierade.

b. Brevlådeoperatören ska utse en eller flera personer som leder och samordnar arbetet med informationssäkerheten, samt säkerställa att denne vid var tid har tillräckliga personella resurser till förfogande för att uppfylla sina åtaganden på ett betryggande sätt.

c. Brevlådeoperatören ska inrätta en process för riskhantering som på ett ändamålsenligt sätt regelbundet och minst var tolfte månad analyserar hot och sårbarheter i verksamheten, och som genom införande av säkerhetsåtgärder balanserar riskerna till acceptabla nivåer.

d. Brevlådeoperatören ska inrätta en process för incidenthantering som systematiskt säkerställer kvaliteten i tjänsten, former för vidarerapportering och att lämpliga reaktiva och preventiva åtgärder vidtas för att lindra eller förhindra skada vid händelser som lett till eller kunnat leda till en incident. Grundorsaker för inträffade incidenter ska utredas och åtgärder ska vidtas för att motverka att händelsen inträffar igen.

e. Brevlådeoperatören ska upprätta och testa kontinuitetsplaner som tillgodoser verksamhetens tillgänglighetskrav genom en förmåga att återställa kritiska processer vid händelse av allvarliga störningar. Kontinuitetsplanerna ska löpande uppdateras och övningar ska genomföras på årlig basis. Erfarenheter från övningarna ska återföras till förbättringsarbetet och dokumentation från övningarna ska bevaras.

f. Ledningen vid Brevlådeoperatören ska ha gjort ett åtagande för informationssäkerheten och ska regelbundet informera sig om hur arbetet med informationssäkerheten fortskrider samt minst en gång per år följa upp, utvärdera och besluta om att förbättringar i detta arbete.

3. Spårbarhet och skydd mot informationsförlust

K3.1 Brevlådeoperatören ska framställa dokumentation som styrker efterlevnaden av de säkerhetskrav som ställs på Brevlådeoperatören, och som visar att de införda kontrollerna finns på plats och fungerar på ett tillfredställande sätt.

K3.2 Brevlådeoperatören ska säkerställa spårbarhet på individ- och processnivå i tjänstens it-system och -tillämpningar genom kontinuerlig säkerhetsloggning. Säkerhetsloggarna ska förses med tillförlitliga tidsangivelser samt förvaras åtskilda från övriga system på ett sätt som skyddar loggarna mot oavsiktlig förlust och obehörig förändring.

K3.3 Brevlådeoperatörerna ska bevara sådana uppgifter som omfattas av

K3.1 och K3.2. Bevarandetiden ska inte understiga 5 år. Då bevarandetiden löpt ut ska uppgifterna förstöras på ett säkert sätt.

K3.4 Lagrade handlingar, behandlingshistorik och andra uppgifter i tjänsten ska säkerhetskopieras tillräckligt ofta för att säkerställa att uppgifterna skyddas på ett ändamålsenligt sätt mot oavsiktlig förlust eller obehörig förändring. Säkerhetskopiorna ska förvaras fysiskt åtskilda från de it-miljöer från vilka informationen kopierats samt omfattas av motsvarande grad av skydd. Rutinerna för återläsning av säkerhetskopierad information ska regelbundet testas. Säkerhetskopierad information ska raderas på ett säkert sätt då den inte längre behövs.

4. Fysisk, administrativ och personorienterad säkerhet

K4.1 Verksamhetens centrala delar ska skyddas fysiskt mot skada som följd av miljörelaterade händelser, otillåten åtkomst eller andra yttre störningar. Tillträdeskontroll ska tillämpas så att åtkomst till känsliga utrymmen är begränsad till endast behörig personal, att informationsbärande lagringsmedia och pappersdokument förvaras på ett säkert sätt, och att tillträde till dessa skyddade utrymmen kontinuerligt övervakas och dokumenteras.

K4.2 Innan en person antar någon av de roller som är av särskild betydelse för säkerheten, ska Brevlådeoperatören ha genomfört lämplighetsbedömning innefattande bakgrundskontroll i syfte att förvissa sig om att personen kan anses vara pålitlig samt att personen har de kvalifikationer och den utbildning som krävs för att utföra de arbetsuppgifter som följer av rollen på ett tillfredsställande, korrekt och säkert sätt. Behov av fortbildning och förnyad lämplighetsbedömning ska regelbundet prövas.

K4.3 Brevlådeoperatörer ska ha rutiner och tekniska kontroller som säkerställer att endast särskilt bemyndigad personal har administrativ åtkomst till de berörda it-miljöerna och endast i den omfattning som krävs för fullgörande av de ålagda arbetsuppgifterna. Logisk åtkomst till it-miljöerna ska ske genom stark autentisering och tilldelade behörigheter ska följas upp regelbundet.

5. Teknisk säkerhet

K5.1 Brevlådeoperatören ska kunna visa att de tekniska kontroller som finns införda är tillräckliga för att uppnå den skyddsnivå som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter, och att dessa kontroller fungerar och är effektiva.

K5.2 Brevlådeoperatörer ska ha infört dokumenterade rutiner som säkerställer att erforderlig skyddsnivå i de berörda it-miljöerna kan upprätthållas över tid och i samband med förändringar, innefattande kontinuerlig omvärldsbevakning av de produkter och tekniker som används i tjänsten, rutiner för införande av programvaruuppdateringar, regelbundna sårbarhetsundersökningar samt ändamålsenlig beredskap för att möta förändrade risknivåer.

K5.3 Kommunikation över allmänna elektroniska kommunikationsnät eller andra kommunikationstjänster som inte är fysiskt skyddade ska begränsas och genom starka kryptografiska metoder ömsesidigt identifieras samt skyddas mot insyn, manipulation och återuppspelning.

K5.4 Känsligt kryptografiskt nyckelmaterial ska skyddas så att:
a. Åtkomst begränsas, logiskt och fysiskt, till de roller och de tillämpningar som oundgängligen kräver det.
b. Nyckelmaterialet aldrig lagras i klartext på beständig lagringsmedia.
c. Skyddsklass 3: Nyckelmaterial som Brevlådeoperatören hanterar för Brevlådeinnehavares räkning skyddas när det inte är under användning, direkt eller indirekt, via kryptografisk hårdvarumodul eller motsvarande med aktiva säkerhetsmekanismer som skyddar mot både fysiska och logiska försök att röja nyckelmaterialet.
d. Skyddsklass 3: Säkerhetsmekanismerna för skydd av nyckelmaterial enligt punkten (c) ovan är genomlysta och baserade på erkända och väletablerade standarder.

K5.5 Uppgifter som relaterar till Brevlådeinnehavares brevlådor eller innehållet i dessa, ska då informationen är i vila, skyddas mot insyn och förvanskning genom stark kryptering med nyckelmaterial som hanteras i enlighet med K5.4.

K5.6 Brevlådeoperatören ska ha infört rutiner och metoder för att på ett effektivt och säkert sätt kunna radera uppgifter från brevlådor samt säkerhetskopior och annat informationsbärande media.

K5.7 Brevlådeoperatören ska ha infört rutiner och ändamålsenligt skydd mot skadlig kod i de berörda it-miljöerna. Rutinerna och skyddet ska inriktas mot tidig upptäckt, åtgärder för begränsning av spridning samt återställning av it-miljöerna.

K5.8 De tekniska systemen och nätverksmiljöerna ska övervakas kontinuerligt i syfte att upptäcka störningar och försök till obehörig åtkomst i it-miljöerna. Kritiska händelser ska kopplas till larm för åtgärd med den skyndsamhet situationen kräver.

K5.9 Vid anskaffning av informationstekniska produkter, mjukvaror eller tjänster som ska användas i verksamheten ska fastställda rutiner följas för att hantera de risker som är förknippade med leveranskedjan, bland annat innefattande fastställande, validering och övervakning av säkerhetskrav, erhållande av nödvändig dokumentation samt säker konfigurering av de produkter, mjukvaror eller tjänster som tillhandahålls.

K5.10 Egenutveckling av programvara ska ske genom tillämpning av en konkret metodik och tydliga riktlinjer för säker programutveckling, där källkod skyddas särskilt och åtkomst till källkodsarkiv styrs på sådant sätt att varje ändring kan härledas både i tid och vilken utvecklare som fört ändringen till källkodsträdet.

6. Registrering och avregistrering av Brevlådeanvändare

K6.1 Brevlådeoperatören ska, beaktat reglerna för personuppgiftsbehandling, föra register över Brevlådeanvändare och de kopplade Brevlådorna, och hålla detta register aktuellt.

K6.2 Brevlådeoperatören ska tillhandahålla en funktion för att möjliggöra att Brevlådan kan sägas upp. Brevlådeoperatören ska då en sådan begäran mottagits avregistrera Brevlådeinnehavaren och i förekommande fall till Brevlådan registrerade Brevlådeanvändare. Brevlådeoperatören ska även säkert radera samtliga Meddelanden och andra uppgifter som lagras i Brevlådan.

7. Granskning och uppföljning

K7.1 Brevlådeoperatören ska inrätta en funktion för internrevision som periodiskt granskar verksamhetens efterlevnad av de krav som följer av de Allmänna villkoren. Internrevisorn ska vara oberoende i utförandet av uppdraget på ett sätt som tryggar en objektiv och opartisk granskning och ha den kompetens och erfarenhet som krävs för uppdraget. Internrevisorn ska självständigt planera genomförandet av revisionen och dokumentera detta i revisionsplaner som sträcker sig över 3-årscykler. Revisionsmoment ska väljas utifrån en risk- och väsentlighetsanalys där iakttagelser och kontroller med särskild risk bör granskas och följas upp varje år.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: