MSBFS 2018:11

Myndigheten för samhällsskydd och

beredskaps författningssamling

1

Utgivare: Anna Asp, Myndigheten för samhällsskydd och beredskap

ISSN 2000-1886

MSBFS

2018:11

Utkom från trycket

den 8 januari 2019

Myndigheten för samhällsskydd och beredskaps

föreskrifter ¹ om frivillig rapportering av incidenter i

tjänster som är viktiga för samhällets funktionalitet;

beslutade den 18 december 2018.

Myndigheten för samhällsskydd och beredskap föreskriver följande med

stöd av 15 § förordningen (2018:1175) om informationssäkerhet för

samhällsviktiga och digitala tjänster.

Tillämpningsområde

1 § Denna författning innehåller bestämmelser om frivillig rapportering

av incidenter enligt artikel 20 i Europaparlamentets och rådets direktiv (EU)

nr 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på

säkerhet i nätverks- och informationssystem i hela unionen (NIS-direktivet).

Författningen gäller inte leverantörer som omfattas av lagen (2018:1174)

om informationssäkerhet för samhällsviktiga och digitala tjänster.

Begreppsförklaringar

2 §

De uttryck som förklaras i 2 § lagen (2018:1174) om informations-

säkerhet för samhällsviktiga och digitala tjänster har samma innebörd i

denna författning.

3 § I denna författning avses med

extern aktör

Underleverantör, inhyrd konsult eller

motsvarande.

störning

En konsekvens av en incident som innebär

att en tjänst inte levereras normalt.

¹ Allmänna råd som ansluter till föreskrifterna finns på sid 5.

MSBFS

2018:11

2

Rapportering

Hur rapportering ska ske

4 § En aktör som väljer att rapportera en incident som avses i 1 § första

stycket ska lämna in rapporten till Myndigheten för samhällsskydd och

beredskap via anvisade kontaktvägar.

När rapportering ska ske

5 § En aktör som väljer att rapportera en incident ska lämna information

enligt 7 § punkt 1-9 utan onödigt dröjsmål.

6 § Aktören ska inom fyra veckor från det första rapporteringstillfället

lämna information enligt 7 § punkt 10-11, samt vid behov ändra eller

komplettera tidigare lämnade uppgifter.

Rapportens innehåll

7 § En rapport enligt 4 § ska innehålla

1. Aktörens namn och organisationsnummer.

2. Kontaktuppgifter till utsedd kontaktperson eller kontaktfunktion för

incidenten och för störningen.

3. Berörd tjänst.

4. Namn och organisationsnummer till extern aktör dit informations-

hantering har utkontrakterats i det fall incidenten inträffat hos den

externa aktören.

5. En beskrivning av inträffad incident utifrån

a) tidpunkt för när incidenten inträffade och när den upptäcktes,

b) om den fortfarande pågår eller tidpunkt för när drabbade nätverk och

informationssystem återgick till normaldrift,

c) händelseförlopp,

d) hanteringen av incidenten, samt

e) typ, orsak och konsekvenser.

6. En beskrivning av störningen utifrån

a) tidpunkt för när störningen uppstod samt när och hur den

upptäcktes,

b) om störningen i tjänsten fortfarande pågår eller tidpunkt för när den

upphörde alternativt förväntas upphöra,

c) dess påverkan på tjänsten,

d) användare som påverkas av störningen, samt

e) vilket geografiskt område som påverkas av störningen.

MSBFS

2018:11

3

7. Bedömning av konsekvenser för andra än användare av tjänsten.

8. Bedömning av konsekvenser i andra medlemsstater inom EU.

9. Uppgift om åtgärder för att minimera konsekvenserna av incidenten.

10. Uppgift om tidigare vidtagna åtgärder för att förebygga och hantera

liknande incidenter.

11. Uppgift om nya åtgärder för att förhindra att liknande incidenter

inträffar på nytt.

8 § Om den rapporterande aktören inom ett år från det att rapportering har

skett konstaterar att lämnade uppgifter är felaktiga kan uppgifterna

korrigeras.

____________

Denna författning träder i kraft den 1 mars 2019.

Myndigheten för samhällsskydd och beredskap

DAN ELIASSON

Carina Wetzel

(Avdelningen för cybersäkerhet och skydd av

samhällsviktig verksamhet)

MSBFS

2018:11

4

MSBFS

2018:11

5

Myndigheten för samhällsskydd och beredskaps

allmänna råd om frivillig rapportering av incidenter i

tjänster som är viktiga för samhällets funktionalitet

Följande allmänna råd ansluter till Myndigheten för samhällsskydd och

beredskaps föreskrifter om frivillig rapportering av incidenter i tjänster som är

viktiga för samhällets funktionalitet. Termer och uttryck som används i

föreskrifterna har samma betydelse här.

Allmänna råd har en annan juridisk status än föreskrifter. Allmänna råd är inte

tvingande. Deras funktion är att förtydliga innebörden i lag, förordning eller

myndighetsföreskrifter och att ge generella rekommendationer om deras

tillämpning.

Allmänna råd är markerade med grå bakgrund.

Myndigheten för samhällsskydd och beredskap

ÅKE HOLMGREN

Carina Wetzel

(Avdelningen för cybersäkerhet och skydd av

samhällsviktig verksamhet)

MSBFS

2018:11

6

Frivillig rapportering

Hur rapportering ska ske

4 §

Anvisade kontaktvägar finns på www.msb.se.

Rapportens innehåll

7 §

p. 2.

Kontaktuppgifter bör hållas uppdaterade och bör inkludera roll,

telefonnummer och e-postadress samt uppgift om tillgänglighet.

p. 5. e)

En beskrivning av konsekvenser bör göras utifrån tillgänglighet, riktighet

och konfidentialitet.

p. 11.

Vid rapportering av vilka åtgärder som planeras bör sådana åtgärder som

vidtas för att hantera incidentens grundorsak redovisas.

8 §

Även uppgifter som vid rapportering bedöms vara korrekta bör korrigeras

om de senare visar sig vara felaktiga.

MSBFS

2018:11

7

MSBFS

2018:11

8

Beställningsadress:

Norstedts Juridik, 106 47 Stockholm

Telefon: 08-598 191 90

E-postadress:

kundservice@nj.se

Webbadress:

www.nj.se/offentligapublikationer