Informationssamhällsbalken (917/2014) förutsätter att verksamhetsutövare med avsikt att utöva registrarverksamhet lämnar in en anmälan till Kommunikationsverket och ser till att de anmälda uppgifterna hålls uppdaterade. I
lagen finns närmare bestämmelser om registrarverksamheten som delvis precicerats genom Kommunikationsverkets
föreskrift (68/2014 M). Krav på registrarer gäller:
- innehållet i och kvaliteten på den tjänst som tillhandahålls kunderna
- tillåtna tekniska gränssnitt
- hänsynstagande till informationssäkerheten
- skyldighet att anmäla störningar i informationssäkerheten.
Skyldigheter som gäller tjänsten
En registrar ska
ge råd (balkens 170.1,1 §) till kunderna om domännamnens lagenlighet. Ett fi-domännamn får inte kränka ett namn eller varumärke som registrerats för en annan.
- Registraren ska guida kunderna att granska de lagenliga skyddade namnen och märkena i gällande register (föreskriftens 7 §).
- Ett domännamn
registreras alltid på domännamnsanvändaren (balkens 167.1 §).
- Via ett tekniskt gränssnitt ska registraren i Kommunikationsverkets domännamnsregister anteckna korrekta och uppdaterade uppgifter som identifierar domännamnsanvändaren samt den e-postadress som används för hörande och delgivning (s.k. processadress).
- Registraren ska tillräckligt tidigt informera användare om att domännamnets giltighetstid löper ut, dess följder samt hur domännamnet kan förnyas (balkens 170.1,4 §).
På användarens begäran ska registraren:
Registraren säkerställer omsorgsfullt att begäran kommer från rätt instans. Domännamnet ska överföras eller registrar bytas inom fem vardagar (föreskriftens 10–11 §).
Krav som gäller tekniska gränssnitt
- Registraren ska kunna göra anteckningar i domännamnsregistret med hjälp av tekniska arrangemang som Kommunikationsverket har fastställt (balkens 170.1,3 § och 167.4 §).
- Som ett
tekniskt gränsnitt ska användas ett webbläsargränssnitt eller det EPP-gränssnitt (Extensible Provisioning Protocol) som Kommunikationsverket har specificerat (föreskriftens 9 §).
- Om registraren använder EPP-gränssnittet ska registrarens kundprogram vara kompatibelt med Kommunikationsverkets
EPP-gränssnittbeskrivning och det ska genomgå de tester i
EPP-testsystemet som Kommunikationsverket kräver (föreskriftens 9 §).
- En registrar som använder EPP-gränssnittet ska uppfylla de kriterier som är härledda från kraven på skyddsnivå (IV) enligt delområde I, teknisk informationssäkerhet, i den version av
Katakri (verktyg för informationssäkerhetsauditering) (på finska), som gäller vid respektive tidpunkt, till (föreskriftens 20 §) säkerhet i datakommunikation och i informationssystem.
Krav på informationssäkerhet
En registrar ska sörja för
informationssäkerheten i sin verksamhet (balkens 170.1,6 §). I kapitel 4 i föreskriften (68/2014 M) finns närmare föreskrifter om informationssäkerheten i verksamheten. Varje registrar ska fastställa detaljerade och tillräckliga anvisningar med tanke på hot mot informationssäkerheten. Registraren ska dokumentera och hålla en uppdaterad beskrivning av på vilket sätt den beaktar de olika delområdena av informationssäkerheten i sin verksamhet:
- administrativ säkerhet
- personalsäkerhet
- maskinvaru-, programvaru- och telekommunikationssäkerhet
- datamaterial- och driftsäkerhet 5. fysisk säkerhet.
- fysisk säkerhet.
Registraren ska också ha uppdaterade dokument om:
- riskhanteringsprocesser och resultaten av regelbundna riskbehandlingar
- ett klassificeringssystem och hanteringsförfaranden i samband med klassificeringen för sådant datamaterial som är viktigt för registrarverksamheten
- mekanismer för övervakning av hot mot informationssäkerheten i registrarverksamheten
- procedurer för situationer som stör eller hotar informationssäkerheten i registrarverksamheten
- processer som styr ändringar i nät, mjukvara, hårdvara, konfigurationer, gränssnitt och utrustningsutrymmen.
Registraren behöver inte skicka dokumenten till Kommunikationsverket utan särskild begäran.
Störningsanmälningar till myndigheten
En registrar ska meddela Kommunikationsverket om dess förmedling av domännamn är utsatt för betydande kränkningar av eller hot mot informationssäkerheten eller för någonting annat som väsentligen förhindrar eller stör den (balkens 170.1,7 §).
Störningsanmälan ska göras inom 24 timmar från det att registraren har fått veta om den betydande störningen (föreskriftens 21.2 §). Kommunikationsverkets dokument
motivering till och tillämpning av föreskrift 68 (MPS) beskriver kriterierna som ska ta hänsyn till vid bedömning av om en störning är betydande eller inte.
