Till innehåll på sidan

Incidentrapportering för leverantörer av digitala tjänster

Leverantörer av digitala tjänster ska rapportera incidenter som har avsevärd inverkan på tillhandahållandet av en digital tjänst till MSB.

Incidentrapportering för leverantörer av digitala tjänster regleras i lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster, förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster, EU-kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018 samt MSB:s föreskrifter om incidentrapportering för leverantörer av digitala tjänster (MSBFS 2018:10).

MSB ska utan dröjsmål tillgängliggöra informationen i incidentrapporterna för tillsynsmyndigheten.

Incidenter som ska rapporteras

De incidenter som leverantörer av digitala tjänster ska rapportera till MSB är sådana som har avsevärd inverkan på tillhandahållandet av en digital tjänst. I EU-kommissionens så kallade genomförandeförordning gällande säkerhetsåtgärder och fastställande av incidenter med avsevärd inverkan, beskrivs vilka incidenter leverantörer av digitala tjänster ska rapportera.

EU-kommissionens genomförandeförordning (2018/151) på EU-kommissionens webbplats

Ansökan om incidentrapporteringskonto för leverantörer av digitala tjänster

Enligt MSB:s föreskrifter om incidentrapportering för leverantörer av digitala tjänster (MSBFS 2018:10) ska leverantören utan dröjsmål och på anvisat sätt ansöka om att få ett incidentrapporteringskonto. Ansökan görs på nedanstående blankett och skickas till MSB. I ansökan anges en kontaktperson för incidentrapportering samt valfritt antal personer som ansvarar för personliga incidentrapporteringskonton.

MSB utvecklar för närvarande ett system för incidentrapportering. Användarkonton kommer att skapas först när systemet är i bruk. Först då kommer respektive användare få information om hur man kommer igång med att rapportera i systemet. Innan dess kommer det inte att ske någon ytterligare återkoppling. MSB publicerar mer information om systemet i samband med lansering. Innan systemet är i bruk används en alternativ rutin för att rapportera incidenter.

Blankett för ansökan om incidentrapporteringskonto för leverantörer av digitala tjänster

Rapportera en incident

MSB anvisar leverantörer av digitala tjänster att rapportera incidenter på följande sätt:

Skede 1 (inom sex timmar)

Inom sex timmar från det att leverantören har identifierat att en incident är rapporteringspliktig ska CERT-SE vid MSB underrättas om incidenten via telefon på 010-240 40 40. Informationen utgår från rapportering av uppgifter enligt första skedet (skede 1) i incidentrapporteringsformuläret för leverantörer av digitala tjänster. Leverantören bedömer vilken information som kan lämnas via telefon.

Skede 2 (inom 24 timmar)

Inom 24 timmar från det att leverantören har identifierat att en incident är rapporteringspliktig ska skriftlig rapportering lämnas utifrån det första och det andra skedet (skede 1 och 2) i incidentrapporteringsformuläret för leverantörer av digitala tjänster. Rapporten skickas med rekommenderat brev till:

CERT-SE
Myndigheten för samhällsskydd och beredskap
Box 599
101 31 Stockholm

Lägg rapporten med informationen i ett separat kuvert inuti försändelsekuvertet (kuvert i kuvert). Alternativt kan rapporten lämnas, adresserad till CERT-SE, personligen till vakten i MSB:s reception i Stockholm på Fleminggatan 14.

Skede 3 (inom fyra veckor)

Inom fyra veckor från det första rapporteringstillfället ska skriftlig rapportering lämnas utifrån det tredje skedet (skede 3) i incidentrapporteringsformuläret för leverantörer av digitala tjänster.

Rapporten skickas med rekommenderat brev till:
CERT-SE
Myndigheten för samhällsskydd och beredskap
Box 599
101 31 Stockholm
Lägg rapporten med informationen i ett separat kuvert inuti försändelsekuvertet (kuvert i kuvert). Alternativt kan rapporten lämnas, adresserad till CERT-SE, personligen till vakten i MSB:s reception i Stockholm på Fleminggatan 14.

Om du har frågor om rapporteringsvägarna är du välkommen att kontakta CERT-SE på cert@cert.se eller 010-240 40 40. Om du har allmänna frågor om NIS-direktivet är du välkommen att kontakta oss på fraga.nis@msb.se.

Rapportering av uppgifter som rör Sveriges säkerhet

Om behov av att kunna rapportera in uppgifter som omfattas av sekretess och som rör Sveriges säkerhet föreligger, ska detta endast ske via lämpligt signalskyddssystem, personlig leverans eller rekommenderat brev.

Rapportering till Säkerhetspolisen

It-incidenter som omfattas av 10 a § säkerhetsskyddsförordningen (1996:633) ska skyndsamt anmälas till Säkerhetspolisen. Från och med 1 april 2019 kommer detta att regleras i 2 kap. 10 § säkerhetsskyddsförordningen (2018:658).

En incident som ska anmälas enligt 10 a § säkerhetsskyddsförordningen (1996:633) kan i vissa fall, beroende på vilka konsekvenser den får, även vara rapporteringspliktig enligt NIS-regleringen.

Formulär för incidentrapportering

Leverantörer av digitala tjänster använder formulär för att rapportera incidenter. Formulären kan med fördel även användas i det förberedande arbetet och vid övning.

Incidentrapporteringsformulär för leverantörer av digitala tjänster: skede 1 och 2
Incidentrapporteringsformulär för leverantörer av digitala tjänster: skede 3

I formulären ska uppgifter om hanteringsåtgärder, hot, sårbarheter och förebyggande åtgärder lämnas. Om du vill rapportera fler än en av dessa, använder du nedanstående delformulär:

Delformulär för att rapportera ytterligare hanteringsåtgärder
Delformulär för att rapportera ytterligare hot
Delformulär för att rapportera ytterligare sårbarheter
Delformulär för att rapportera ytterligare förebyggande åtgärder

I rapporteringen bör endast sådana personuppgifter som är nödvändiga för att ange kontaktpersoner respektive beskriva incidenten lämnas, exempelvis gällande ip-adresser.

Som stöd i att fylla i incidentrapporteringsformulären erbjuder vi en vägledning riktat primärt till leverantörer av samhällsviktiga eller digitala tjänster. Vägledningen kommer att kompletteras regelbundet baserat på frågor som kommer in till MSB.

Vägledning för ifyllande av incidentrapporteringsformulären för samhällsviktiga respektive digitala tjänster

Föreskrifter om incidentrapportering för leverantörer av digitala tjänster

MSB:s föreskrifter om incidentrapportering för leverantörer av digitala tjänster beskriver hur incidentrapportering går till, när rapportering ska ske och vad incidentrapporterna ska innehålla.

Föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av digitala tjänster på MSB:s webbplats
Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NIS-regleringen

Senast granskad: 19 maj 2019

Kontakta

När du skickar in formuläret kommer vi att behandla dina personuppgifter för att utföra den uppgift som formuläret avser. Tänk på att det du skickar in kan bli en allmän handling.

Till toppen av sidan