MSBFS 2018:10
Myndigheten för samhällsskydd och
beredskaps författningssamling
1
Utgivare: Anna Asp, Myndigheten för samhällsskydd och beredskap
ISSN 2000-1886
MSBFS
2018:10
Utkom från trycket
den 8 januari 2019
Myndigheten för samhällsskydd och beredskaps
föreskrifter 1 om rapportering av incidenter för
leverantörer av digitala tjänster;
beslutade den 18 december 2018.
Myndigheten för samhällsskydd och beredskap föreskriver följande med
stöd av 13 och 14 §§ förordningen (2018:1175) om informationssäkerhet för
samhällsviktiga och digitala tjänster.
Tillämpningsområde
Denna författning innehåller bestämmelser om rapportering av
incidenter för leverantörer av digitala tjänster enligt 19 § lagen (2018:1174)
om informationssäkerhet för samhällsviktiga och digitala tjänster.
Begreppsförklaringar
De uttryck som förklaras i 2 § lagen (2018:1174) om informations-
säkerhet för samhällsviktiga och digitala tjänster har samma innebörd i
denna författning.
I denna författning avses med
leverantör
En leverantör av digitala tjänster i enlighet
med 3 § första stycket 2 lagen (2018:1174)
om informationssäkerhet för samhällsviktiga
tjänster och digitala tjänster.
extern aktör
Underleverantör, inhyrd konsult eller
motsvarande.
störning i den digitala
tjänsten
En konsekvens av en incident som innebär
att den digitala tjänsten inte levereras som
normalt.
1 Allmänna råd som ansluter till föreskrifterna finns på sid 5.
MSBFS
2018:10
2
Rapportering
Incidentrapporteringskonto
En leverantör ska utan dröjsmål och på anvisat sätt ansöka hos
Myndigheten för samhällsskydd och beredskap om att få tilldelat ett
incidentrapporteringskonto genom att anmäla en kontaktperson och ansvarig
för incidentrapporteringskontot.
Uppgifterna nedan ska lämnas i ansökan.
1. För- och efternamn.
2. E-postadress.
3. Mobiltelefonnummer.
4. Organisation.
5. Organisationsnummer.
Uppgifterna ska hållas uppdaterade.
Leverantören ska på anvisat sätt aktivera ett incidentrapporterings-
konto hos Myndigheten för samhällsskydd och beredskap.
Hur rapportering ska ske
Incidenter ska rapporteras till Myndigheten för samhällsskydd och
beredskap via anvisade kontaktvägar.
När rapportering ska ske
Leverantören ska
1. senast inom sex timmar från det att leverantören har identifierat att en
incident är rapporteringspliktig, rapportera uppgifter enligt 8 § punkt
1-7 till Myndigheten för samhällsskydd och beredskap.
2. senast inom 24 timmar från det att leverantören har identifierat att en
incident är rapporteringspliktig rapportera uppgift enligt 8 § punkt 8,
samt vid behov ändra eller komplettera tidigare rapportering.
3. inom fyra veckor från det första rapporteringstillfället rapportera uppgift
enligt 8 § punkt 9-10, samt vid behov ändra eller komplettera tidigare
rapportering.
Rapportens innehåll
En rapport enligt 8 § ska innehålla följande information.
1. Leverantörens namn och organisationsnummer.
2. Kontaktuppgifter till utsedd kontaktperson eller kontaktfunktion för
incidenten och för störningen.
3. Berörd digital tjänst.
MSBFS
2018:10
3
4. Namn och organisationsnummer till extern aktör dit informations-
hantering har utkontrakterats i det fall incidenten inträffat hos den
externa aktören.
5. En beskrivning av inträffad incident, utifrån
a) tidpunkt för när incidenten inträffade och när den upptäcktes,
b) om den fortfarande pågår eller tidpunkt för när drabbade nätverk och
informationssystem återgick till normaldrift,
c) händelseförlopp,
d) hanteringen av incidenten, samt
e) typ, orsak och konsekvenser.
6. En beskrivning av störningen utifrån
a) hur störningen upptäcktes,
b) dess påverkan för den digitala tjänsten,
c) användare som påverkas av störningen, samt
d) geografiskt område som påverkas.
7. Bedömning av konsekvenser i andra medlemsstater inom EU.
8. Uppgift om åtgärder för att minimera följderna av incidenten.
9. Uppgift om tidigare vidtagna åtgärder för att förebygga och hantera
liknande incidenter.
10. Uppgift om nya åtgärder för att förhindra att liknande incidenter
inträffar på nytt.
Om den rapporterande leverantören inom ett år från det att
rapportering har skett konstaterar att lämnade uppgifter är felaktiga ska
uppgifterna korrigeras utan onödigt dröjsmål.
____________
Denna författning träder i kraft den 1 mars 2019.
Myndigheten för samhällsskydd och beredskap
DAN ELIASSON
Carina Wetzel
(Avdelningen för cybersäkerhet och skydd av
samhällsviktig verksamhet)
MSBFS
2018:10
4
MSBFS
2018:10
5
Myndigheten för samhällsskydd och beredskaps
allmänna råd om rapportering av incidenter för
leverantörer av digitala tjänster
Följande allmänna råd ansluter till Myndigheten för samhällsskydd och
beredskaps föreskrifter om rapportering av incidenter för leverantörer av
digitala tjänster. Termer och uttryck som används i föreskrifterna har samma
betydelse här.
Allmänna råd har en annan juridisk status än föreskrifter. Allmänna råd är inte
tvingande. Deras funktion är att förtydliga innebörden i lag, förordning eller
myndighetsföreskrifter och att ge generella rekommendationer om deras
tillämpning.
Allmänna råd är markerade med grå bakgrund.
Myndigheten för samhällsskydd och beredskap
ÅKE HOLMGREN
Carina Wetzel
(Avdelningen för cybersäkerhet och skydd av
samhällsviktig verksamhet)
MSBFS
2018:10
6
Rapportering
Hur rapportering ska ske
6 §
Anvisade kontaktvägar finns på www.msb.se.
När rapportering ska ske
7 §
Leverantören bör säkerställa att det finns interna processer för att utan
dröjsmål kunna identifiera om en incident uppfyller kriterierna i artikel 3-4
Kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari
2018.
Rapportens innehåll
8 §
p. 2.
Kontaktuppgifter bör hållas uppdaterade och bör inkludera roll,
telefonnummer och e-postadress samt uppgift om tillgänglighet.
p. 5. e)
En beskrivning av konsekvenser bör göras utifrån tillgänglighet, riktighet
och konfidentialitet.
p. 10.
Vid rapportering av vilka åtgärder som planeras bör även sådana åtgärder
som vidtas för att hantera incidentens grundorsak redovisas.
9 §
Även uppgifter som vid rapportering bedöms vara korrekta bör korrigeras
om de senare visar sig vara felaktiga.
MSBFS
2018:10
7
MSBFS
2018:10
8
Beställningsadress:
Norstedts Juridik, 106 47 Stockholm
Telefon: 08-598 191 90
E-postadress:
kundservice@nj.se
Webbadress:
www.nj.se/offentligapublikationer