NIS-leverantörers it-incidentrapportering 2020
Leverantörer av samhällsviktiga och digitala tjänster rapporterar in it-incidenter till MSB i enlighet med NIS-regleringen. Nu tar MSB för första gången fram en årsrapport över de inkomna incidentrapporterna.
Med denna rapport vill MSB förmedla lärdomar av den sammanställda rapporteringen till leverantörerna, tillsynsmyndigheterna och andra intressenter kring vilka typer av incidenter och sårbarheter som varit vanligt förekommande under året och hur dessa kan förebyggas. Med rapporten vill vi även höja kunskapsnivån kring regleringen och göra både NIS-direktivet och den svenska regleringen mer tillgänglig för de verksamheter som berörs.
Ta också del av den här filmen som tar upp varför det är viktigt att du följer din organisations regler och anmäler it-incidenter.
Komplexa beroenden och informationsunderskott
I rapporteringen uppges 88 stycken NIS-incidenter inträffat hos leverantörer av samhällsviktiga tjänster under år 2020. Detta är en ökning från 2019 års rapportering. Covid-19-pandemin har med få undantag inte återspeglats i årets incidentrapportering. Däremot kan det konstateras att många incidenter har sitt ursprung hos underleverantörer och att flera av dessa har förekommit hos ett begränsat antal underleverantörer. Ett problem med detta är att NIS-leverantörerna flera gånger saknar viktig information om incidenten och hanteringen av den.
Sammanställning visar även att incidenter som bedöms ha ursprung i antagonistisk handling utgör en mycket liten del av den totala rapporteringen. Istället är det oftast systemfel och i en del fall handhavandefel som uppges ha orsakat incidenterna.
Rekommendationer
Här presenterar vi ett urval av rekommendationer till leverantörer av samhällsviktiga tjänster utifrån incidentrapporteringen 2020. Dessa utvecklas ytterligare i rapporten.
- Se över kravställningar och SLA:er med externa aktörer. Detta innebär bland annat att se över underleverantörers rutiner kring incidenthantering, säkerställa informationskanaler, om möjligt ha redundans genom andra aktörer och uppdatera avtal vid förändringar.
- Ha tydliga rutiner kring incidentrapportering där relevant information tagits fram och görs tillgänglig för den som ska incidentrapportera.
- Ha mål för återställning av tjänsten då detta kan påskynda hanteringen av incidenten och höja ambitionsnivån. Det är viktigt att dimensionera målen även efter externa behov av den drabbade tjänsten.
- Genom att budgetera för incidenter kan organisationen ha en beredskap för oväntade kostnader och minskar risken att övrig verksamhet påverkas.
- Att arbeta systematiskt och riskbaserat ger aktörerna en mer övergripande bild av vilka hot och sårbarheter verksamheten står inför och minskar risken att drabbas av incidenter.
MSB:s överenskommelse med INEA och satsningar på NIS
Under 2020 kom MSB fram till en överenskommelse med EU-organet INEA om medfinansiering av ett utvecklingsarbete kopplat till vår roll som nationell kontaktpunkt för NIS i Sverige.
Arbetet ska stärka tillämpningen av den svenska NIS-regleringen. Finansieringen från INEA sträcker sig fram till och med år 2023. Överenskommelsen täcker sex aktiviteter som omfattar både ny och existerande verksamhet på MSB. Nya inslag är en årskonferens för NIS, leverantörsforum för NIS-leverantörer och denna årsrapport över NIS-leverantörers incidentrapportering.
Årsrapport över NIS leverantörers it-incidentrapportering
Innehållet på den här sidan är ett utdrag ur Årsrapport NIS leverantörers it-incidentrapportering 2020. Rapporten kan du ta del av i sin helhet genom att ladda ned den som en pdf-fil.
Publikation
Årsrapport över NIS-leverantörers it-incidentrapportering 2020 : en samlad bild över rapporterade it-incidenter i samhällsviktiga och digitala tjänster
Publikationsnummer: MSB1695
Utgivningsår: 2021
EU:s NIS-direktiv implementerades i Sverige under 2018 och riktar sig till leverantörer av samhällsviktiga och digitala tjänster, det vill säga verksamheter som är viktiga för att upprätthålla kritisk...
MSB står ensamt ansvarig för denna publikation, vars innehåll inte nödvändigtvis återspeglar Europeiska unionens hållning. Europeiska kommissionen tar inget ansvar för hur information i denna publikation kan användas.