Rapportera it-incident som statlig myndighet

Förordningskravet gäller för statliga myndigheter under regeringen.

Nedanstående är undantagna från kravet:

• Regeringskansliet
• Kommittéväsendet
• Säkerhetspolisen
• Försvarsmakten
• Försvarets materielverk, FMV
• Försvarets radioanstalt, FRA
• Totalförsvarets forskningsinstitut, FOI

Statliga myndigheter ska rapportera it-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för. Detsamma gäller tjänster som myndigheten levererar till en annan organisation. Detta enligt förordning (2022:524) om statliga myndigheters beredskap.

Kravet omfattar it-incidenter som har:

• Påverkan på riktigheten, tillgängligheten eller konfidentialiteten hos information som bedömts ha behov av utökat skydd.
• Påverkan på myndighetens förmåga att utföra sitt uppdrag.
• Allvarlig påverkan på säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation.
• Påverkan på att informationssystem, som behandlar information som bedömts ha behov av utökat skydd, inte kunnat upprätthålla avsedd funktionalitet.

Undantag

Om det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, ska detta anmälas till Säkerhetspolisen.

Anmäl säkerhetshotande händelser på Säkerhetspolisens webbplats

Myndigheten ska bedöma incidenten genom informationsklassning
Det är myndighetens ansvar att göra en egen bedömning av vilka it-incidenter som allvarligt kan påverka säkerheten i organisationens informationssystem. Myndigheten behöver även göra en självständig bedömning av vilken information som är i behov av utökat skydd genom att göra en informationsklassning.

Skulle inte IRON-verktyget vara tillgängligt kan du rapportera skriftligt via formulär.

Formulär för att rapportera statliga myndigheters it-incidenter

Hur du ska skicka in rapporten beror på om den omfattas av sekretess.

Det är den rapporterande aktören som gör bedömningen.
OBS! Ni kan alltid, oavsett sekretess eller inte, lämna in slutrapporten personligen. Det görs till vakten i MSB:s reception i Solna på Terminalvägen 14. Adressera rapporten till CERT-SE.

Ej sekretess:

Mejla till rapport@it-incident.se.

Rekommenderat brev (se adressuppgifter nedan)

Värdepost (se adressuppgifter nedan)

Sekretess, men rör inte Sveriges säkerhet:

Rekommenderat brev

Rekommenderat brev används för rapporter som omfattas av sekretess enligt 18 kapitel 8 § eller 18 kapitel 13 § i offentlighets- och sekretesslagen, OSL (2009:400) och som inte rör Sveriges säkerhet.

Rapporten skickas i kuvert i säkerhetspåse som rekommenderat brev till (exakt adress):

MSB
CERT-SE
Box 6081
171 06 Solna

Sekretess och berör Sveriges säkerhet:

• Signalskydd: Rapporter som omfattas av sekretess på grund av skydd av Sveriges säkerhet ska i första hand rapporteras via signalskyddssystem (MGS, MGM). Det är system som Försvarsmakten har godkänt för att skydda säkerhetsskyddsklassificerade uppgifter.
• Värdepost: Om det inte är möjligt skickas rapporten i kuvert i säkerhetspåse som värdepost till (exakt adress):

MSB
CERT-SE
Terminalvägen 10
171 73 Solna

Kompletteringar

Eftersom it-incidenter kan påverka säkerheten hos statliga myndigheter är det viktigt att informationen är rätt. Det är också viktigt eftersom informationen som lämnas är utgångspunkt för hela samhällets informationssäkerhet.

MSB kan komma att kontakta er för en fördjupad analys om det finns misstankar om att de it-incidenter som har rapporterats kan få snabb spridning eller omfattande konsekvenser för samhället.

MSB kan också begära in kompletterande uppgifter för att avgöra om it-incidenter från olika aktörer har något samband eller om de exempelvis har orsakats av samma anledning. Syftet är att begränsa skada och förebygga liknande it-incidenter i samhället.

Upptäcker ni som rapporterande myndighet att uppgifter om kategorier, omfattning och konsekvenser varit missvisande eller felaktiga ska ni komplettera eller korrigera rapporten så snart som möjligt.

Sekretess

Precis som för andra myndigheter styrs MSB:s hantering av information av handlingsoffentlighet och sekretess. Den information som kommer till MSB i samband med it-incidentrapportering utgörs av olika kategorier av information, där delar av den kan omfattas av sekretess medan andra delar kan vara information som normalt inte omfattas av sekretess.

Den information som kommer till MSB kan vara av olika slag men ger i många fall upplysningar om en organisations it- eller kommunikationssystem. Om MSB bedömer att det finns en risk att säkerhetsarbetet försvåras om informationen röjs finns det stöd i lagen att sekretessbelägga sådan information. Sekretessbestämmelsen innebär också en tystnadsplikt för MSB:s medarbetare och brott mot denna är straffsanktionerat.

Vilken information som kan omfattas av sekretess och inte beror till stor del på sammanhanget, vilket gör att informationen som inkommer behöver bedömas. Exempelvis kan bara själva uppgiften om att en organisation har utsatts för en allvarlig incident i sig utgöra känslig information, då andra myndigheter eller organisationer som har liknande brister också kan riskera att utsättas innan riskerna har hunnit åtgärdas.

Om en uppgift begärs utlämnad gör MSB därför en prövning av sekretessen. Det är MSB som självständigt prövar frågan och MSB:s beslut att neka utlämnande kan överklagas till Kammarrätten.

Säkerhet

Det är avgörande att information hanteras säkert i rutiner och verktyg. Den information som kommer till MSB ges ett kvalificerat skydd genom rutiner och processer som säkerställer ett korrekt hanterande av informationen samt system med hög teknisk säkerhetsgrad.

På regeringens uppdrag vidarebefordrar MSB från och med 1 oktober 2022 de notifieringar och ifyllda formulär som rapporteras in till MSB, och som innehåller beskrivningar av incidenter som kan antas ha sin grund i en brottslig handling, till Polismyndigheten där en polisanmälan kan komma att upprättas. Syftet är att öka andelen polisanmälda it-brott och öka möjligheten att klara upp fler brott.

Det är endast incidentrapporter där den rapporterande organisationen har angett att incidenten är orsakad av en mänsklig handling i antagonistiskt syfte, eller där den organisationen i fritext har beskrivit att det handlar om ett angrepp, som omfattas av detta. 

Notifieringar och ifyllda formulär bedöms var för sig. Om en rapporterande organisation i sin notifiering har angett att incidenten de notifierar om har, eller verkar ha, sin grund i en brottslig handling så kommer informationen att vidarebefordras till Polismyndigheten. Om den rapporterande organisationen därefter skickar en ett ifyllt formulär där de anger en annan orsak till incidenten så kommer inte det ifyllda formuläret att vidarebefordras till Polismyndigheten. På motsvarande sätt gäller också att om en rapporterande organisation vid sin notifiering anger en orsak som inte kan antas av vara brottslig så kommer informationen inte att vidarebefordras till Polismyndigheten. Om den organisationen sedan skickar in ett ifyllt formulär där de anger en orsak som kan antas vara brottslig så kommer det ifyllda formuläret att vidarebefordras till Polismyndigheten.

Delningen av information till Polismyndigheten genomförs inom ramen för det nationella cybersäkerhetscentrets (NCSC-SE) verksamhet. Information som delas till Polismyndigheten kan också komma att delas med andra myndigheter inom NCSC-SE:s verksamhet.

När Polismyndigheten mottagit notifieringen eller incidentrapporten bedöms huruvida ett brott som hör under allmänt åtal har förövats, om en polisanmälan ska upprättas och om en förundersökning i så fall ska inledas. Informationen som inkommer till Polismyndigheten, såväl som till andra myndigheter inom NCSC-SE, behandlas utifrån tillämpliga sekretessregler.
På detta sätt når de aktörer som rapporterar in incidenter den del av Polismyndigheten som hanterar it-brott på ett nytt sätt.
Den nya rutinen för informationsdelning kommer att utvärderas om ett år, bland annat rörande sätt att både främja incidentrapportering och polisanmälan.

MSB kommer även fortsättningsvis att uppmana NIS-leverantörer och statliga myndigheter att göra en polisanmälan om de bedömer att incidenten kan ha orsakats av en brottslig handling eftersom det åligger myndigheten att göra det enligt NIS-regleringen och krisberedskapsförordningen.

Inom vissa organisationer sköts incidentrapportering respektive polisanmälan på olika sätt eller av olika delar av organisationen. Det kan vara värt att se över en sådan ordning i ljuset av det ovanstående. Det åligger rapporteringspliktiga organisationer att ha en intern rutin för att samlat hantera rapportering om inträffade incidenter utifrån den samlade kravbilden.