Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad

Hur och när ska rapporteringen ske?

Rapportens innehåll
Kontaktuppgifter för återkoppling
När ska rapportering ske?
MSB:s utskick av information till myndigheter

Rapportens innehåll

Rapporten ska innehålla information om tidpunkten när it-incidenten inträffade, när man upptäckte incidenten, huruvida den är pågående eller avslutad och den initiala bedömningen av omfattningen och konsekvenser. Rapportören behöver även kategorisera incidenten, vilket sker med följande kategorier som stöd:

  1. Störning i mjuk- eller hårdvara,
  2. störning i driftmiljö,
  3. informationsförlust eller informationsläckage,
  4. informationsförvanskning,
  5. hindrad tillgång till information,
  6. säkerhetsbrist i en produkt,
  7. angrepp,
  8. handhavandefel,
  9. oönskad eller oplanerad störning i kritisk infrastruktur, eller
  10. annan plötslig oförutsedd händelse som lett till skada.

En it-incident kan höra till en eller flera av ovan kategorier vilket framgår av utskickat formulär för rapportering.

I det fall den rapporterande myndigheten vid sin efterföljande interna utredning av it-incidenten konstaterar att inrapporterade uppgifter om kategorier, omfattning och konsekvenser varit missvisande eller felaktiga ska myndigheten komplettera eller korrigera sin rapport så snart som möjligt. Syftet är att säkerställa att information om it-incidenter som allvarligt påverkar säkerheten hos statliga myndigheter blir rättvisande och kan utgöra en god utgångspunkt för arbete med samhällets informationssäkerhet.

Kontaktuppgifter för återkoppling

I enlighet med beslutade föreskrifter om it-incidentrapportering ska varje myndighet meddela aktuella kontaktuppgifter för den funktion som ska ta emot återkoppling om it-incidenter från MSB. Uppgift om när funktionen är bemannad önskas också. Mer information om vilka kontaktuppgifter som behövs finns i följande blankett på msb.se Förändrade kontaktuppgifter bör rapporteras snarast.

När ska rapportering ske?

En it-incidentrapport ska lämnas in till MSB senast inom 24 timmar efter att den har upptäckts. Myndigheten anses ha upptäckt it-incidenten när information om den hanteras i utpekad intern process för hantering av it-incidenter eller när säkerhetsansvarig eller motsvarande fått kännedom om incidenten. När drabbade myndigheter rapporterar senast 24 timmar från upptäckt får Myndigheten för samhällsskydd och beredskap på ett tidigt stadium indikationer på om till exempel flera myndigheter eller organisationer samtidigt drabbats. Sådana incidenter kan kräva omedelbara åtgärder, såväl av den rapporterande aktören som på en samhällsnivå. Fler aktörer än de som direkt är berörda kan då få en tidig information och varning. Detta innebär en möjlighet att begränsa en inträffad it-incidents konsekvenser och spridning.

It-incidenter som dessförinnan har anmälts till polisen behöver inte rapporteras, utan vid dessa tillfällen lämnas istället en kopia av polisanmälan till MSB.

En preliminär rapport bör endast lämnas i undantagsfall.

MSB kan även be om kompletterande information från myndigheten om det är nödvändigt utifrån händelseförloppet. Om det finns misstankar om att de it-incidenter som har rapporterats kan få snabb spridning eller omfattande konsekvenser för samhället kan en fördjupad analys behövas. Kompletterande uppgifter kan också komma att begäras in för att avgöra om it-incidenter som olika myndigheter har rapporterat in har något samband med varandra eller om de exempelvis har orsakats av samma säkerhetsbrist i en produkt. Syftet med att komplettera uppgifter är att förbättra möjligheterna att bidra i arbetet med att begränsa skada och förebygga liknande it-incidenter i samhället. Vilken information som den rapporterande myndigheten bör komplettera med och hur den ska hanteras avgörs i samråd med MSB.

MSB:s utskick av information till myndigheter

MSB har gjort ett antal utskick av information till berörda myndigheter via brev. Dessa brev presenteras nedan vart efter de har skickats till myndigheterna.

Brev 1: 2016-02-19
Information till statliga myndigheter om införande av obligatoriskt it-incidentrapportering.

Brev 2 och bifogad blankett: 2016-03-09
Förfrågan om kontaktuppgifter och ytterligare information om obligatoriskt it-incidentrapportering.

Brev 3: 2016-03-18
Information om kontaktvägar för it-incidentrapportering.

Länk till breven: https://www.msb.se/sv/Forebyggande/Informationssakerhet/It-incidentrapportering/