Till innehåll på sidan

It-incidentrapportering för statliga myndigheter

Från och med 1 april 2016 ska alla statliga myndigheter rapportera it-incidenter som inträffar i myndighetens informationssystem eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Incidenterna som ska rapporteras är de som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för.

Hantera pågående it-incident

Behöver ni hjälp med att hantera en pågående it-incident?

Ring CERT-SE på 010-240 40 40 eller skicka e-post till cert@cert.se.

Vid användning av PGP-kryptering finns CERT-SE:s publika PGP-nyckelCERT-SE:s publika PGP-nyckel

Varför it-incidentrapportering?

Syftet med obligatorisk it-incidentrapportering för statliga myndigheter är enligt regeringen att

  • stödja samhällets informationssäkerhet
  • möjliggöra en förbättrad lägesbild över informationssäkerheten
  • skapa förutsättningar för att vidta rätt skyddsåtgärder
  • utveckla förmågan att förebygga, upptäcka och hantera it-incidenter

Genom att skyndsamt rapportera till MSB, som därigenom får en samlad och övergripande bild, kan MSB samordnat vidta åtgärder för att avvärja eller begränsa konsekvenserna av allvarliga it-incidenter.

Vilka ska rapportera?

Förordningskravet gäller för statliga myndigheter under regeringen.

För utlandsmyndigheterna tillämpas bestämmelserna endast i den utsträckning som bestäms i föreskrifter som meddelas av Utrikesdepartementet vid Regeringskansliet.

Regeringen har bland annat med hänsyn till den verksamhet vissa myndigheter bedriver beslutat att undanta dessa från rapporteringskravet i 20 § Förordning om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.

Även myndigheter som inte omfattas av skyldigheten, liksom andra organisationer och företag är välkomna att rapportera vid it-incidenter som allvarligt kan påverka säkerheten. Ju bredare underlag desto bättre för samhällets krisberedskap.

För organisationer som omfattas av NIS-direktivet gäller rapporteringsplikt enligt NIS-föreskrifterna.

Incidentrapportering för NIS-leverantörer

Undantag från förordningskravet görs för:

  • Regeringskansliet
  • Kommittéväsendet
  • Säkerhetspolisen
  • Försvarsmakten
  • Försvarets materielverk, FMV
  • Försvarets radioanstalt, FRA
  • Totalförsvarets forskningsinstitut, FOI

Lägesbilder och rapporter

MSB använder it-incidentrapporterna för att upptäcka förhållanden eller pågående skeenden som andra aktörer bör ta del av, för att kunna erbjuda stöd till den drabbade organisationen och för statistik över vilka incidenter som inträffar och deras konsekvenser.

Om flera aktörer drabbats samtidigt kan det krävas omedelbara åtgärder, såväl av den rapporterande aktören som på samhällsnivå. Fler aktörer än de som direkt är berörda kan då få tidig information och förvarningar. Detta innebär en möjlighet att begränsa konsekvenser och spridning av en inträffad it-incident. Vid dessa tillfällen kan rapporterande myndigheter uppmanas att komplettera sina uppgifter för att möjliggöra en fördjupad analys.

Det övergripande syftet med rapporteringen är att ge MSB bättre förutsättningar att stödja arbetet med, samt stärka, samhällets informations- och cybersäkerhet. MSB arbetar kontinuerligt med att ta tillvara den information som kommer till myndigheten för att på bästa sätt bedriva såväl ett operativt som ett proaktivt arbete gällande statliga myndigheters informations- och cybersäkerhet.

Varje år presenterar MSB en rapport till regeringen kring den obligatoriska rapporteringen samt tar fram en offentlig årsrapport som omfattar rapportering om it-incidenter. Dessa ger en statistisk bild över hur mycket och vad som har rapporterats.

Vilka it-incidenter ska rapporteras?

Enligt förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap, ska it-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten levererar till en annan organisation rapporteras till MSB.

En it-incident är en oönskad och oplanerad it-relaterad händelse som kan påverka säkerheten i organisationens eller samhällets informationshantering och som kan innebära en störning i organisationens förmåga att bedriva sin verksamhet.

Följande it-incidenter ska rapporteras:

  • Påverkan på riktigheten, tillgängligheten eller konfidentialiteten hos information som bedömts ha behov av utökat skydd.
  • Om informationssystem som behandlar information som bedömts ha behov av utökat skydd inte kunnat upprätthålla avsedd funktionalitet.
  • Påverkan på myndighetens förmåga att utföra sitt uppdrag.
  • Allvarlig påverkan på säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation.

Bedömningen av om informationen är i behov av utökat skydd ska ske genom informationsklassning enligt 6 § punkt 1 Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).

Det kan finnas många orsaker till att en it-incident uppstår men exempel på orsaker är:

  • mänsklig handling i antagonistiskt syfte
  • mänsklig handling utan antagonistiskt syfte
  • systemfel
  • naturhändelse

Varje myndighet behöver sedan göra en självständig bedömning av vilka it-incidenter som allvarligt kan påverka säkerheten i organisationens informationssystem.

Incidenter som omfattas av 2 kap. 10 § första stycket 2 säkerhetsskyddsförordningen ska inte rapporteras till MSB inom ramen för statliga myndigheters rapportering.

Föreskrifter, allmänna råd och stöd

Krav på åtgärder för att hantera incidenter och avvikelser och på att myndigheten klassar sin information finns i Föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet.

Krav på att myndigheten dokumenterar it-miljön och vilka informationssystem som har behov av utökat skydd finns i Föreskrifter och allmänna råd om säkerhetsåtgärder i informationssystem.

Kontaktuppgifter för återkoppling

Varje myndighet meddelar aktuella kontaktuppgifter för den funktion som ska ta emot återkoppling om it-incidenter från MSB. Fyll gärna i uppgift om när funktionen är bemannad också. Förändrade kontaktuppgifter bör rapporteras snarast.

Blankett för kontaktuppgifter till myndigheten

Så här rapporterar du it-incidenter


Rapporteringen består av två delar, en så kallad notifiering där ni meddelar oss om incidenten och en slutrapport. Notifieringen ska göras inom sex timmar från det att incidenten har identifierats och slutrapporteringen ska göras inom fyra veckor.

Notifiering

En notifiering ska göras inom 6 timmar från det att en incident har identifierats. Myndigheten anses ha upptäckt it-incidenten när information om den hanteras i utpekad intern process för hantering av it-incidenter eller när säkerhetsansvarig eller motsvarande fått kännedom om incidenten.

Enligt huvudregeln ska notifieringen göras genom att ringa CERT-SE.

Kontakta CERT-SE vid notifiering

Telefonnummer: 010-240 40 40

I telefonsamtalet ger myndigheten den information om incidenten som är möjlig med hänsyn till hur mycket myndigheten känner till samt med hänsyn till att notifieringen sker över öppen telefonlina.

Notifieringen ska svara på följande frågor:

  • Vad har hänt?
  • Hur och när upptäcktes problemet?
  • Vilka parter är inblandade i incidenthanteringen?
  • Finns det en brottsmisstanke och har en polisanmälan upprättats?
  • Behov av stöd från CERT-SE och kontaktvägar för detta?

CERT-SE organiserar eventuell samverkan som krävs för att lösa incidenten och sprider rekommenderade åtgärder eller varningar.

Slutrapport

En slutrapport ska skickas till MSB inom fyra veckor. Slutrapporten ska beskriva när it-incidenten inträffade, när incidenten upptäcktes, och om den är pågående eller avslutad.

Den som lämnar rapporten ska också bedöma omfattning och eventuella konsekvenser av it-incidenten. Upptäcker ni som rapporterande myndighet att uppgifter om kategorier, omfattning och konsekvenser varit missvisande eller felaktiga ska ni komplettera eller korrigera rapporten så snart som möjligt.

Eftersom it-incidenter kan påverka säkerheten hos statliga myndighter är det viktigt att informationen är rätt. Det är också viktigt eftersom informationen som lämnas är utgångspunkt för hela samhällets informationssäkerhet.

Fyll i rapporteringsformuläret som finns att ladda ner på den här sidan.  Formuläret innehåller funktioner som stödjer myndigheten i att fylla i svaren på ett korrekt sätt.

I vissa webbläsare fungerar inte alla funktioner. MSB rekommenderar därför att formuläret öppnas i en programvara för läsning av pdf-filer, till exempel Adobe Reader.

Formulär för att rapportera statliga myndigheters it-incidenter (pdf)

Fördjupad analys och komplettering

Om det finns misstankar om att de it-incidenter som har rapporterats kan få snabb spridning eller omfattande konsekvenser för samhället kan en fördjupad analys behövas.

Kompletterande uppgifter kan också begäras in för att avgöra om it-incidenter som olika myndigheter har rapporterat in har något samband eller om de exempelvis har orsakats av samma anledning. Syftet med att komplettera uppgifter kan också vara för att kunna begränsa skada och förebygga liknande it-incidenter i samhället.

Olika sätt att skicka in rapporten på

Beroende på vilken sekretess slutrapporten omfattas av kan olika rapporteringsvägar användas. Det är den rapporterande myndigheten som gör bedömningen. Det är också möjligt att personligen lämna in slutrapporten, adresserad till CERT-SE.
Det görs till vakten i MSB:s reception i Solna på Terminalvägen 14.

Skicka med mejl

Om slutrapporten inte omfattas av sekretess skickas den med mejl till rapport@it-incident.se.

Det går även bra att skicka rapporten med rekommenderat brev eller värdepost.

Rekommenderat brev

Rekommenderat brev används för rapporter som omfattas av sekretess enligt 18 kapitel 8 § eller 18 kapitel 13 § i offentlighets- och sekretesslagen, OSL (2009:400) och som inte rör Sveriges säkerhet.

Rapporten skickas i kuvert i säkerhetspåse som rekommenderat brev till:
MSB, CERT-SE, Box 6081, 171 06 Solna.

Det är viktigt att MSB står först i adressen, därefter CERT-SE.

Signalskydd eller värdepost

Rapporter som omfattas av sekretess på grund av skydd av Sveriges säkerhet ska i första hand rapporteras via signalskyddssystem (MGS, MGM). Det är system som Försvarsmakten har godkänt för att skydda säkerhetsskyddsklassificerade uppgifter.

Om det inte är möjligt skickas rapporten i kuvert i säkerhetspåse som värdepost till:
MSB, CERT-SE, Terminalvägen 10, 171 73 Solna.

Det är viktigt att MSB står först i adressen, därefter CERT-SE.

 

Så skyddar MSB din information

Sekretess

Precis som för andra myndigheter styrs MSB:s hantering av information av handlingsoffentlighet och sekretess. Den information som kommer till MSB i samband med it-incidentrapportering utgörs av olika kategorier av information, där delar av den kan omfattas av sekretess medan andra delar kan vara information som normalt inte omfattas av sekretess.

Den information som kommer till MSB kan vara av olika slag men ger i många fall upplysningar om en organisations it- eller kommunikationssystem. Om MSB bedömer att det finns en risk att säkerhetsarbetet försvåras om informationen röjs finns det stöd i lagen att sekretessbelägga sådan information. Sekretessbestämmelsen innebär också en tystnadsplikt för MSB:s medarbetare och brott mot denna är straffsanktionerat.

Vilken information som kan omfattas av sekretess och inte beror till stor del på sammanhanget, vilket gör att informationen som inkommer behöver bedömas. Exempelvis kan bara själva uppgiften om att en organisation har utsatts för en allvarlig incident i sig utgöra känslig information, då andra myndigheter eller organisationer som har liknande brister också kan riskera att utsättas innan riskerna har hunnit åtgärdas.

Om en uppgift begärs utlämnad gör MSB därför en prövning av sekretessen. Det är MSB som självständigt prövar frågan och MSB:s beslut att neka utlämnande kan överklagas till Kammarrätten.

Fördjupad information om hur MSB skyddar informationen finns i faktabladet Så skyddar MSB din information.

Så skyddar MSB din information

Säkerhet

Det är avgörande att information hanteras säkert i rutiner och verktyg. Den information som kommer till MSB ges ett kvalificerat skydd genom rutiner och processer som säkerställer ett korrekt hanterande av informationen samt system med hög teknisk säkerhetsgrad.

 

Senast granskad: 29 juni 2021

Till toppen av sidan