MSB:s föreskrifter om incidentrapportering

MSB (Myndigheten för samhällsskydd och beredskap) som har som uppgift att samordna det svenska samhällets informationssäkerhet, har gett ut föreskrifter om informationssäkerhet som alla svenska statliga myndigheter måste efterfölja. Föreskrifterna handlar om informationssäkerhet, IT-säkerhet och incidentrapportering.  

Här presenteras en sammanfattning av den tredje av dessa föreskrifter som handlar om incidentrapportering och har det fullständiga namnet:

Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av IT-incidenter för statliga myndigheter.

(MSBFS 2020:8)

Dessa föreskrifter innehåller bestämmelser om rapportering av IT-incidenter enligt förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.

Vilka IT-incidenter omfattas av denna rapporteringsskyldighet?

  • De som påverkat riktigheten, tillgängligheten eller konfidentialitet hos information med behov av utökat skydd.

  • Sådana som inneburit att informationssystemet inte kunnat upprätthålla avsedd funktionalitet.

  • De som påverkat myndighetens förmåga att utföra sitt uppdrag.

  • Sådana incidenter som i övrigt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller tillhandahåller åt en annan organisation.

Bedömningen av om informationen är i behov av utökat skydd eller inte ska skev genom den informationsklassning som gäller enligt MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6)

Regler för hur rapportering ska ske

IT-incidenter ska rapporteras via de kontaktvägar som MSB har anvisat för myndigheten.

När en IT-incident inträffat ska inom sex timmar en notifiering (övergripande beskrivning) av vad som inträffat inlämnas.

Inom fyra veckor från denna IT-incident ska en slutrapportering inlämnas.

Denna ska innehålla följande uppgifter:

  • tidpunkten när incidenten inträffade

  • tidpunkt när informationssystemet återgick till normaldrift

  • händelseförlopp

  • hanteringen av incidenten

  • typ, orsak och konsekvenser

  • vidtagna och planerade åtgärder med anledning av den inträffade incidenten.

Om MSB begär det ska man efteråt komplettera rapporteringen på berörda punkter.

Om den berörda myndigheten inom ett år från det att slutrapportering skett hittar felaktigheter i slutrapporteringen ska de felaktiga uppgifterna korrigeras utan onödigt dröjsmål.

Utkontraktering

Om en myndighet överlåtit en del av sin informationshantering till en aktör som inte omfattas av rapporteringsskyldighet ska myndigheten se till att aktören åtar sig att rapportera IT-incidenter till myndigheten på ett sådant sätt att myndigheten kan uppfylla kraven i MSB:s föreskrifter.

Kontaktuppgifter

Myndigheten ska hålla MSB informerad om aktuella kontaktuppgifter till den funktion på myndigheten som ska ta emot ny information från MSB angående IT-incidenter.

Den fullständiga versionen av dessa föreskrifter (MSBFS 2020:8)

Kan laddas ned från MSB:s webbplats www.msb.se

Har du behov av hjälp med IT- eller informationssäkerhet? Läs mer om våra tjänster!