Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad

Frågor och svar om it-incidentrapportering

Denna sida är indelad i ett antal huvudkategorier för att underlätta överblicken. Dessa kategorier är:

  1. Frågor om nationell it- incidentrapportering

  2. Frågor om vilka som omfattas av obligatoriet

  3. Frågor om säkerhet och sekretess

  4. Frågor om hur rapportering ska ske

  5. Frågor om föreskrifterna

  6. Frågor om definitioner av begrepp

  7. Frågor om återkoppling och statistik

  8. Frågor om hur man kommer i kontakt med MSB

  9. Frågor om kontaktuppgifter

1. Frågor om nationell it-incidentrapportering

1.1 Vad ska nationell it-incidentrapportering åstadkomma?

Syftet med obligatorisk it-incidentrapportering är enligt regeringen att stödja samhällets informationssäkerhet; det möjliggör en förbättrad lägesbild över informationssäkerheten, skapar förutsättningar för att vidta rätt skyddsåtgärder och utvecklar förmågan att förebygga, upptäcka och hantera it-incidenter. Genom att skyndsamt rapportera till MSB, för att därigenom få en samlad och övergripande bild, finns också möjlighet att samordnat vidta åtgärder för att avvärja eller begränsa konsekvenserna av allvarliga it-incidenter.

1.2 På vilket sätt har MSB fått uppdraget att ansvara för it-incidentrapportering och att ta fram nya föreskrifter och allmänna råd inom området? Var kan jag läsa om uppdraget?

MSB har på uppdrag av regeringen genomfört två utredningar om hur obligatorisk it-incidentrapportering skulle kunna utformas. I en ny förordning om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap har regeringen nu fört in ett krav på statliga myndigheter att rapportera in it-incidenter till MSB. I samma förordning ges MSB mandat att ta fram nya föreskrifter som stöd för rapporteringen. Sammantaget innebär det att MSB behöver ta fram vägledningar, nödvändig reglering för att underlätta en sådan rapportering och slutligen ett tekniskt stöd i form av ett rapporteringsverktyg. I rapporten ”Nationellt system för it-incidentrapportering” diarienummer 2012-2637 beskrivs detta närmare. (Fö2012/717/SSK, Regeringsbeslut II:1, 2012-04-12)

Nationellt system för it-incidentrapportering

1.3 Finns it-incidentrapportering i andra länder?

Ja, it-incidentrapportering finns i många länder och motsvarande reglering som nu införs i Sverige finns i exempelvis Tyskland och Norge.

2. Frågor om vilka som omfattas av obligatoriet

2.1 Vilka aktörer måste rapportera i nuläget?

Rapportering är obligatorisk för statliga myndigheter med vissa få undantag. Rapportering är frivillig för övriga myndigheter samt kommuner, landsting och privata företag.

2.2 Vilka myndigheter omfattas inte av kravet att rapportera och varför?

Förordningskravet gäller för statliga myndigheter under regeringen med undantag av Regeringskansliet, kommittéväsendet, Säkerhetspolisen, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt och Totalförsvarets forskningsinstitut. För utlandsmyndigheterna tillämpas bestämmelserna endast i den utsträckning som bestäms i föreskrifter som meddelas av Regeringskansliet (Utrikesdepartementet). Regeringen har bland annat med hänsyn till den verksamhet vissa myndigheter bedriver beslutat att undanta dessa från rapporteringskravet i 20 § förordning om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.

2.3 Hur tänker MSB kring att få med ytterligare organisationer i arbetet för att få en bättre bild och mer relevanta analyser?

Oavsett om det finns ett obligatorium eller inte är det enligt MSB:s uppfattning av stor vikt att de aktörer som rapporterar in it-incidenter upplever att rapporteringen bidrar till både enskilda aktörers och samhällets säkerhet. It-incidentrapporteringen ska därmed skapa ett mervärde för berörda aktörer. Även myndigheter som inte omfattas av skyldigheten, liksom andra organisationer och företag är välkomna att rapportera vid it-incidenter som allvarligt kan påverka säkerheten. Ju bredare underlag desto bättre för samhällets krisberedskap.

2.4 Kommer kommuner att få liknade krav på rapportering i framtiden?

Se redogörelse för det europeiska NIS-direktivet nedan. Det kan komma att innebära att kommuner i framtiden omfattas av rapporteringskravet.

2.5 Kommer näringslivet att få liknade krav på rapportering i framtiden?

Den 6 juli 2016 antog EU-parlamentet EU:s direktiv om säkerställandet av en hög gemensam nivå av säkerhet för nätverk och informationssystem i hela unionen (det s.k. NIS-direktivet). Direktivet har förhandlats sedan februari 2013. Nu när direktivet är beslutat är Sverige skyldigt att införa dess krav i svensk rätt. Det pågår en utredning som ska föreslå hur det ska ske.

NIS-direktivet innebär bland annat att alla medlemsstater ska skapa ett nationellt system för incidentrapportering som omfattar såväl offentliga som privata aktörer inom sektorerna energi, transporter, bank, finans, hälso- och sjukvård och vattenförsörjning samt arbeta med tillsyn och sanktioner kopplat till direktivet.

3. Frågor om säkerhet och sekretess

3.1 Hur kan MSB garantera att informationen som rapporteras in skyddas på ett korrekt sätt?

Det är centralt för MSB att den information som lämnas in och genereras i samband med rapporteringen av en it-incident ges ett kvalificerat skydd genom rutiner och processer som säkerställer ett korrekt hanterande av informationen samt system med hög teknisk säkerhetsgrad och hanteras säkert i rutiner och verktyg. Det är en prioriterad fråga att information som rapporteras och som omfattas av sekretess också skyddas från att lämnas ut. Mer information kring sekretess finns att läsa i faktabladet ”Så skyddar MSB din information - Informationsbehandling vid it-incidenthantering”. Faktablad - Så skyddar MSB din information

MSB tillhandahåller en kryptolösning som kan användas för att ge skydd vid överföring av it-incidentrapporter till MSB via e-post eller annan anvisad kontaktväg. Kryptolösningen baseras på programvaran ”KURIR”, version 2.0, med en av MSB framtagen hantering av kryptonycklar.

MSB bedömer att denna kryptolösning för inrapportering av it-incidenter får användas för att skydda information som omfattas av sekretess enligt 18 kap. 8§ och 18 kap. 13§ i offentlighets- och sekretesslagen, OSL (2009:400). Detta gäller dock inte sådan information som regleras i säkerhetsskyddslagen (1996:627).

Varje myndighet ansvarar själva för att bedöma utifrån it-incidentrapportens innehåll om tillhandahållen lösning ger erforderligt skydd. Om behov av att kunna rapportera in uppgifter som omfattas av sekretess och som rör rikets säkerhet föreligger (s.k. hemliga uppgifter), ska detta ske via lämpligt signalskyddssystem, personlig leverans eller REK/VÄRDE-post.

3.2 Om jag är näringsidkare, hur garanterar MSB att min information inte lämnas ut?

För näringsidkare är rapportering frivillig. MSB ser det som viktigt att inte bara statliga myndigheter rapporterar utan även andra samhällsaktörer eftersom det ökar förutsättningarna att få ett mer heltäckande underlag för arbetet med samhällets krisberedskap och stöd till drabbade aktörer. I korthet kan sägas att utöver de ovan presenterade möjligheterna att sekretessbelägga information om bland annat säkerhetsåtgärder finns även stöd för att sekretessbelägga uppgifter om affärs- eller driftförhållanden, uppfinningar eller forskningsresultat om det kan antas att näringsidkaren lider skada om uppgifterna röjs. I övrigt gäller samma säkerhetsåtgärder som för övriga aktörer – ändamålsenliga rutiner och processer samt system med hög teknisk säkerhet av stor betydelse. För mer information, se faktabladet ”Så skyddar MSB din information - Informationsbehandling vid it-incidenthantering.” Faktablad - Så skyddar MSB din information

3.3 Hur kommer MSB hantera frågor om utlämnande av allmän handling?

För MSB är det en prioriterad fråga att information som rapporteras och som omfattas av sekretess också skyddas från att lämnas ut.

MSB:s hantering av information styrs, liksom andra myndigheter, av reglerna om offentlighet och sekretess. It-incidentrapporter som kommer in till MSB kommer att utgöra allmän handling varför en central aspekt är MSB:s möjligheter att sekretessbelägga inkommen information. Offentlighets- och sekretesslagen (2009:400), OSL, innehåller bestämmelser kring sekretess. Sekretess innebär ett förbud att röja vissa typer av uppgifter, vare sig detta sker muntligen, genom utlämnande av allmän handling eller på något annat sätt. Prövning av sekretessen görs av MSB då en uppgift begärs utlämnad. Om en uppgift som begärs ut omfattas av sekretess får den inte lämnas ut. Information som inkommer till MSB i samband med it-incidenthantering kan vara av olika slag men ger i många fall upplysningar om säkerhets- eller bevakningsåtgärder när det gäller en organisations it- eller kommunikationssystem, exempelvis uppgifter om brandväggsinformation och liknande uppgifter.

Om det kan antas att syftet med säkerhets- eller bevakningsåtgärder motverkas, exempelvis genom att säkerhetsarbetet försvåras, om den typen av information röjs finns det stöd i offentlighets- och sekretesslagen att sekretessbelägga sådan information. I de fall då ett röjande av informationen inte påverkar syftet med säkerhets- eller bevakningsåtgärden, exempelvis då informationen är allmänt känd, omfattas informationen däremot inte av sekretess enligt offentlighets- och sekretesslagen. Detta innebär att den primära sekretessgrunden för att skydda information kommer vara 18 kap. 8 § OSL, men även andra sekretessgrunder kan komma att bli tillämpliga. Sekretessbestämmelsen innebär också en tystnadsplikt för myndighetens medarbetare gällande de uppgifter som träffas av sekretessbestämmelsen. Brott mot tystnadsplikten är straffsanktionerat.

MSB:s beslut att neka utlämnande har överklagats till Kammarrätten ett fåtal gånger. I samtliga fall har Kammarrätten avslagit överklagan. Se nyheter om dessa beslut här

Mer information kring sekretess finns att läsa i faktabladet ”Så skyddar MSB din information - Informationsbehandling vid it-incidenthantering”. Faktablad - Så skyddar MSB din information

3.4 Hur säkerställer MSB att det verktyg som kommer att användas för rapportering av it-incidenter är säkert?

På MSB pågår en vidareutveckling kring hela den obligatoriska it-incidentsrapporteringen. I detta ingår utveckling av ett användarvänligt rapporteringsverktyg. MSB:s nuvarande arbetsplan är att verktyget ska kunna tas i bruk av alla berörda myndigheter första halvåret 2018. Utvecklingen och test av verktyget sker tillsammans med en referensgrupp av myndigheter.

Fram till dess att rapporteringsverktyget är etablerat kommer rapportering av it-incidenter behöva ske via andra säkra kommunikationssätt som MSB anvisar. It-incidentrapporter ska enligt huvudregeln skickas till MSB via e-post: rapport@it-incident.se. För information där skyddsvärdet kräver extra säkerhet tillhandahåller MSB en kryptolösning som avser att ge skydd vid överföring via e-post. Lösningen bygger på ett filkrypto som är granskat av Försvarsmakten. Det finns även möjlighet att skicka it-incidentrapporter på annat sätt, önskar myndigheten göra detta kontaktas MSB/CERT-SE på cert@cert.se eller 010-240 40 40 för särskild överenskommelse om detta. Rapporterande myndigheter väljer lämpligt kommunikationssätt vid rapportering av allvarliga it-incidenter baserat på informationens skyddsvärde.

3.5 Hur kommer personuppgifter att hanteras inom ramen för it-incidentrapportering?

Det kan eventuellt bli aktuellt att behandla personuppgifter i form av främst ip-adresser om det behövs för att närmare utreda vad som har hänt och vidta åtgärder. MSB är personuppgiftsansvarig för rapporterade personuppgifter och ansvarar därmed för att de behandlas i enlighet med Dataskyddsförordningen (GDPR). När MSB biträder en annan myndighet med incidenthantering blir MSB ett personuppgiftsbiträde åt den ansvariga myndigheten. I så fall regleras personuppgiftsbehandlingen separat mellan berörd myndighet och MSB.

3.6 Hur arbetar MSB med gallring?

Information kommer att gallras när den inte längre behövs. Interna gallringföreskrifter tas fram för detta.

4. Frågor om hur rapportering ska ske

4.1 Om vi rapporterar it-incidenter i ett annat format/ i andra kategorier internt, måste vi ändå använda MSB:s kategorisering?

Ja. De övergripande kategorierna myndigheterna ska använda när en it-incident beskrivs finns tydliggjorda i MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter och framgår tydligare av det formulär för rapportering som skickats ut. MSB måste använda sig av en enhetlig kategorisering för att kunna skapa ett jämförbart statistiskt underlag.

Föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

4.2 Vilket stöd kan vi förvänta oss av MSB angående vår interna verksamhet kring it-incidentrapportering?

Varje myndighet ansvarar för att ta fram de processer och rutiner som myndigheten behöver för att kunna uppfylla kraven på it-incidentrapportering enligt föreskriften MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter. Vid behov kan en diskussion med MSB föras. Dessutom införs från och med den 4 april 2016 i MSB:s föreskrifter om statliga myndigheters informationssäkerhet ett uttryckligt krav på statliga myndigheter att ha rutiner för att identifiera, rapportera, bedöma, hantera, dokumentera och lära av incidenter som inträffar i myndighetens system.

4.3 Hur ska vi göra en bedömning av hur allvarlig en incident är?

De it-incidenter som ska rapporteras in är sådana it-incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation.

Det är svårt att ge en exakt definition av begreppet allvarlig. För att ge ledning för hur det ska tillämpas i praktiken har MSB tagit fram olika typexempel på rapporteringspliktiga it-incidenter.

För mer information, se föreskriften MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter.

Föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

4.4 Hur snart ska en it-incident rapporteras?

Inom 24 timmar från upptäckt. Incidenten anses ha upptäckts när information om den hanteras i utpekad intern process för hantering av it-incidenter eller när säkerhetsansvarig eller motsvarande fått kännedom om den. Om en it-incident inledningsvis inte bedöms vara allvarlig behöver den inte rapporteras till MSB förrän det finns skäl för att göra bedömningen att den uppfyller kriterierna på en rapporteringspliktig incident. En sådan bedömning ska göras löpande och skyndsamt.

4.5 Vad händer om vi inte rapporterar?

It-incidentrapportering är obligatorisk för statliga myndigheter. MSB har inte något tillsynsansvar.

4.6 Om myndigheten har lagt ut driften på annan entreprenör – behöver de också rapportera till MSB?

Myndigheten har ett ansvar att se till att it-incidenter rapporteras oavsett om driften sköts i annan regi. Om gällande avtal med entreprenören är ett hinder för detta, och avtalet har ingåtts innan den 4 april 2016, så behöver sådan rapportering inte ske. I avtal som ingås med en entreprenör efter det datumet ska myndigheten se till att it-incidenter ska kunna rapporteras även om driften lagts ut. Entreprenören ska rapportera till myndigheten som i sin tur rapporterar till MSB.

4.7 Vilka kontaktuppgifter frågar MSB efter?

MSB behöver kontaktuppgifter till den funktion som ska få återkopplingen från oss. Uppgifterna bör inkludera telefonnummer, e-postadresser och postadress samt uppgifter om bemanning. Förändrade kontaktuppgifter bör snarast rapporteras till Myndigheten för samhällsskydd och beredskap. Sekretessbelagda uppgifter hanteras enligt gällande bestämmelser. Vilken information som behövs framgår av utskickad blankett:

Länk till blankett

5. Frågor om föreskrifterna

5.1 Vilka myndigheter valdes ut för att svara på remissen?

Urvalet har skett på grundval av vissa kriterier, de myndigheterna som omnämns i bilagan till krisberedskapsförordningen (2006:942) och har kompletterats med de större transaktionsmyndigheterna.

Förordning (2006:942) om krisberedskap och höjd beredskap

5.2 Varför har tiden mellan förslag till föreskrift och ikraftträdande varit så kort?

Regeringen fattade den 17 december 2015 beslut om att statliga myndigheter, till stöd för samhällets informationssäkerhet, från och med fredagen den 1 april 2016 ska rapportera it-incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Samtidigt gav regeringen MSB rätt att utfärda föreskrifter om hur rapporteringen till MSB ska gå till. Regeringens bestämmelser finns i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.

I samband med regeringens beslut i december skickade MSB ut förslag på föreskrifter och allmänna råd om obligatorisk it-incidentrapportering på remiss. Dessa tydliggör vilka it-incidenter som ska rapporteras, vad rapporterna ska innehålla och när rapportering ska ske.

Remissen skickades till totalt 75 myndigheter och när svarstiden har passerat har MSB fått in svar från över 70 myndigheter. MSB har tagit emot många värdefulla synpunkter vilka samtliga utgör ett viktigt stöd i arbetet. MSB kan konstatera att det finns ett stort intresse för att förbättra informationssäkerheten inom statlig förvaltning.

MSB har fattat beslut om föreskrifterna den 1 mars 2016. De beslutade föreskrifterna kommer träda i kraft måndagen den 4 april 2016. Länkar till föreskrifterna finns nedan:

MSBFS-20161
MSBFS-20162

Förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap

5.3 Gäller incidentrapportering endast vid höjd beredskap?

Kravet på it-incidentrapportering begränsas inte till höjd beredskap utan gäller alla händelser som allvarligt kan påverka säkerheten.

Föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

Föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

6. Frågor om definitioner av begrepp

6.1 Vad avses med ”system för it-incidentrapportering?”

Med system för obligatorisk it-incidentrapportering avses här alla de delar som krävs för att etablera obligatorisk it-incidentrapportering för statliga myndigheter.

6.2 Vad är en allvarlig it-incident?

De it-incidenter som ska rapporteras in är sådana it-incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation.

Det är svårt att ge en exakt definition av begreppet allvarlig. För att ge ledning för hur det ska tillämpas i praktiken har MSB tagit fram olika typexempel på rapporteringspliktiga it-incidenter.

För mer information, se föreskriften MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter.

Föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

6.3 Vad är skillnaden mellan en informationssäkerhetsincident och en it-incident?

En it-incident är en it-relaterad händelse medan en informationssäkerhetsincident har en vidare betydelse och omfattar incidenter rörande information oavsett i vilket format informationen förekommer.

Begreppet ”it” bör tolkas som teknik för insamling, lagring, bearbetning, produktion, återfinnande, utplåning samt kommunikation och presentation av information (data, text, ljud, bild). Begreppet it-incident rymmer därför både tekniskt orienterade säkerhetsincidenter och informationssäkerhetsaspekter. Definitionen harmonierar med svenska och internationella standarder inom ISO/IEC 27000-serien och de begrepp som används internationellt.

6.4 Hur ska man tolka begreppet ”allvarligt kan påverka säkerheten”?

Begreppet har olika definitioner beroende på i vilken kontext det förekommer. Med begreppet ”allvarligt påverka säkerheten” avses i den nationella hanterandeplanen incidenter som allvarligt kan påverka samhället i stort. I föreskriften och förordningen avses incidenter som är allvarliga för organisationers och myndighetens system och i dess verksamhet.

6.5 Vad är skillnaden mellan dataförlust och dataläckage?

En dataförlust innebär att informationen går förlorad. Dataförlust kan vara permanent eller temporär. En brand i en serverhall t.ex. leder ofta till permanenta dataförluster medan systemfel eller överbelastningsattacker kan leda till temporära förluster. Dataläckage innebär inte att informationen gått förlorad, men att någon obehörigt skaffat sig tillgång till den. Osäkerheten kring hur stor spridning informationen i ett dataläckage fått bör beaktas vid bedömningen av hur allvarlig incidenten är.

6.6 Vad är ett angrepp?

Till kategorin räknas exempelvis överbelastningsattack, införande av skadlig kod, intrång i informationssystem (s.k. hackning), olovligt nyttjande eller annat missbruk av lösenord, olovlig åtkomst till information genom skadliga program och obehörig användning av informationssystem. Som angrepp räknas även angrepp som möjliggjorts eller genomförts av egen personal eller personer som på motsvarande sätt har en anknytning till den drabbade myndigheten, exempelvis inhyrd personal.

7. Frågor om återkoppling och statistik

7.1 När återkopplar MSB sin lägesbild och statistik över inträffade händelser?

Den 16 mars 2017 presenterade MSB en första regeringsrapport kring den obligatoriska rapporteringen. Där ges en statistisk bild av hur mycket och vad som har rapporterats. MSB utvecklar nu återkopplingen till rapporterande myndigheter för att öka deras utbyte av inrapporterad information.

7.2 Kommer MSB återrapportera sina bedömningar till den myndighet som rapporterat en it-incident?

Alla myndigheter som rapporterar it-incidenter kommer att få en återkoppling av MSB. Hur återkopplingen är utformad beror lite på vilken typ av it-incident som rapporteras och hur informationen används. Är det exempelvis information om en it-incident som föranleder varningar till andra aktörer och aktiviteter för att bistå i att begränsa konsekvenser för både enskilda aktörer och samhällets funktion blir återkopplingen mer utförlig än om det handlar om information om it-incidenter som endast används för statistiska ändamål.

I de fall en drabbad aktör önskar få hjälp av MSB för att hantera en it-incident sker ofta ett mer omfattande informationsutbyte, givetvis beroende på typen av it-incident.

7.3 Vilka är de vanligaste incidenterna?

Information kring rapporternas innehåll sammanställs i MSB:s årliga regeringsrapport kring den obligatoriska it-incidentrapporteringen.

7.4 Kan jag (journalist, myndighetsrepresentant, allmänhet) få statistiskt underlag om inrapporterade it-incidenter?

MSB kommer kontinuerligt att ta fram sammanställningar avseende samhällets informationssäkerhet. MSB arbetar med att definiera de exakta formerna och villkoren för detta.

8. Frågor om hur man kommer i kontakt med CERT-SE?

8.1 Hur kommer jag i kontakt med mottagningsfunktionen för obligatorisk it-incidentrapportering?

Du är välkommen att kontakta cert@cert.se eller på telefon 010-240 40 40.

9. Frågor om kontaktuppgifter

9.1 Vilka kontaktuppgifter ska en myndighet ange om en annan myndighet (en värdmyndighet) sköter om informationssystemen?

När det gäller exempelvis små (eller andra) myndigheter där någon annan myndighet (en värdmyndighet) sköter om informationssystemen så är det värdmyndigheten som ska rapportera it-incidenter i dessa system. Enligt förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska värdmyndigheten också i samband med rapportering informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten.

Trots att detta i praktiken innebär att inte alla statliga myndigheter kommer att rapportera it-incidenter till MSB har vi har skickat ut en förfrågan om kontaktuppgifter till samtliga statliga myndigheter som omfattas av regleringen om obligatorisk it-incidentrapportering. Detta har vi gjort för att vi behöver ha tillgång till ett fullständigt och rättvisande register över kontaktpersoner för varje berörd myndighet. I det fall rapportering ska ske av en annan myndighet, exempelvis en värdmyndighet, så är det kontaktuppgifterna till denna som ska anges. Det behöver även i dessa fall vara tydligt att det är kontaktuppgifter till en annan myndighet som anges.