MSBFS 2018:9
Myndigheten för samhällsskydd och
beredskaps författningssamling
1
Utgivare: Anna Asp, Myndigheten för samhällsskydd och beredskap
ISSN 2000-1886
MSBFS
2018:9
Utkom från trycket
den 8 januari 2019
Myndigheten för samhällsskydd och beredskaps
föreskrifter 1 om rapportering av incidenter för
leverantörer av samhällsviktiga tjänster;
beslutade den 18 december 2018.
Myndigheten för samhällsskydd och beredskap föreskriver följande med
stöd av 9, 13 och 14 §§ förordningen (2018:1175) om informationssäkerhet
för samhällsviktiga och digitala tjänster.
1 kap.
Inledande bestämmelser
Tillämpningsområde
1 § Denna författning innehåller bestämmelser om rapportering av
incidenter för leverantörer av samhällsviktiga tjänster enligt 18 § lagen
(2018:1174) om informationssäkerhet för samhällsviktiga och digitala
tjänster inklusive vad som avses med en betydande inverkan på
kontinuiteten i den samhällsviktiga tjänsten.
Begreppsförklaringar
2 §
De uttryck som förklaras i 2 § lagen (2018:1174) om informations-
säkerhet för samhällsviktiga och digitala tjänster har samma innebörd i
denna författning.
3 § I denna författning avses med
akutsjukhus
Vårdinrättning som är inrättad för sluten
vård och som har särskild
akutmottagning för den som behöver
omedelbar hälso- och sjukvård.
extern aktör
Underleverantör, inhyrda konsulter eller
motsvarande.
1 Allmänna råd som ansluter till föreskrifterna finns på sid 7.
MSBFS
2018:9
2
hälso- och sjukvård
Hälso- och sjukvård enligt
Europarlamentets och rådets direktiv
2011/24/EU av den 9 mars om
tillämpningen av patienträttigheter vid
gränsöverskridande hälso- och sjukvård.
leverantör
Leverantör av samhällsviktig tjänst
enligt Myndigheten för samhällsskydd
och beredskaps föreskrifter (2018:7) om
anmälan och identifiering av
leverantörer av samhällsviktiga tjänster.
systemviktiga finansiella
infrastrukturföretag
Med systemviktiga finansiella
infrastrukturföretag avses
värdepapperscentral enligt 1 kap. 3 §
lagen (1998:1479) om
värdepapperscentraler och
kontoföringar av finansiella
instrument,
central motpart enligt definitionen i
artikel 2 punkt 1 i
Europaparlamentets och rådets
förordning (EU) nr 648/2012 av den
4 juli 2012 om OTC-derivat, centrala
motparter och transaktionsregister,
eller
clearingorganisation enligt 1 kap.
4b § lagen (2007:528) om
värdepappersmarknaden.
störning i den samhällsviktiga
tjänsten
En konsekvens av en incident som
innebär att den samhällsviktiga tjänsten
inte levereras som normalt.
2 kap.
Rapportering
Rapporteringspliktig incident
1 § Incidenter som orsakar störningar vilka får betydande inverkan på
kontinuiteten i den samhällsviktiga tjänsten är rapporteringspliktiga enligt
18 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och
digitala tjänster. Av kapitel 3-9 framgår vad som är betydande inverkan
inom respektive sektor.
MSBFS
2018:9
3
Hur rapportering ska ske
2 § Incidenter ska rapporteras till Myndigheten för samhällsskydd och
beredskap via anvisade kontaktvägar.
När rapportering ska ske
3 § Leverantören ska
1. senast inom sex timmar från det att leverantören har identifierat att en
incident är rapporteringspliktig, rapportera uppgifter enligt 4 § punkt
1-8 till Myndigheten för samhällsskydd och beredskap.
2. senast inom 24 timmar från det att leverantören har identifierat att en
incident är rapporteringspliktig rapportera uppgift enligt 4 § punkt 9,
samt vid behov ändra eller komplettera tidigare rapportering.
3. inom fyra veckor från det första rapporteringstillfället rapportera uppgift
enligt 4 § punkt 10-11, samt vid behov ändra eller komplettera tidigare
rapportering.
Rapportens innehåll
4 § En rapport enligt 2 § ska innehålla följande information.
1. Leverantörens namn.
2. Kontaktuppgifter till utsedd kontaktperson eller kontaktfunktion för
incidenten och för störningen.
3. Berörd samhällsviktig tjänst.
4. Namn och organisationsnummer till extern aktör dit informations-
hantering har utkontrakterats i det fall incidenten inträffat hos den
externa aktören.
5. En beskrivning av inträffad incident, utifrån
a) tidpunkt för när incidenten inträffade och när den upptäcktes,
b) om den fortfarande pågår eller tidpunkt för när drabbade nätverk och
informationssystem återgick till normaldrift,
c) händelseförlopp,
d) hanteringen av incidenten, samt
e) typ, orsak och konsekvenser.
6. En beskrivning av störningen, utifrån
a) tidpunkt för när störningen uppstod samt när och hur den
upptäcktes,
b) om störningen fortfarande pågår eller tidpunkt för när den upphörde
alternativt förväntas upphöra,
c) dess påverkan på den samhällsviktiga tjänsten,
d) användare som påverkas av störningen, samt
e) geografiskt område som påverkas.
MSBFS
2018:9
4
7. Bedömning av konsekvenser för andra än användare av den
samhällsviktiga tjänsten.
8. Bedömning av konsekvenser i andra medlemsstater inom EU.
9. Uppgift om åtgärder för att minimera konsekvenserna av incidenten.
10. Uppgift om tidigare vidtagna åtgärder för att förebygga och hantera
liknande incidenter.
11. Uppgift om nya åtgärder för att förhindra att liknande incidenter
inträffar på nytt.
5 § Om den rapporterande leverantören inom ett år från det att
rapportering har skett konstaterar att lämnade uppgifter är felaktiga ska
uppgifterna korrigeras utan onödigt dröjsmål.
3 kap.
Rapporteringspliktiga incidenter inom energi
1 § Leverantörer inom el ska rapportera incidenter som orsakat störning i
den samhällsviktiga tjänsten som
1. har pågått i minst två timmar och som har påverkat
a) minst 2 000 kunder, eller
b) minst 50 % av kunderna, eller
2. har påverkat styrning och övervakning av transmissionsnät, regionnät
eller elproduktion.
2 § Leverantörer inom gasförsörjningen ska rapportera incidenter som
orsakat störning i den samhällsviktiga tjänsten som
1. innebär risk för en händelse som resulterar i en avsevärd försämring av
försörjningssituationen för gas,
2. kan leda till avbrott i gasförsörjningen, eller
3. har påverkat styrning och övervakning inom ramen för
systemansvarstjänst.
3 § Leverantörer inom olja i form av flytande drivmedel och bränslen ska
rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten
som
1. har pågått i minst 12 timmar, eller
2. påverkar styrning och övervakning av ledning, överföring och
distributionsnätverk under minst två timmar.
4 kap.
Rapporteringspliktiga incidenter inom transport
1 § Leverantörer inom transport ska rapportera incidenter som orsakat
störning i den samhällsviktiga tjänsten som
1. har pågått i minst en timme och kan antas ha påverkat
a) minst 1000 användare, eller
MSBFS
2018:9
5
b) ett sammanhängande geografiskt område om minst 10 000 km2,
eller
2. har pågått i minst två timmar.
5 kap.
Rapporteringspliktiga incidenter inom
bankverksamhet
1 § Leverantörer inom bankverksamhet ska rapportera incidenter som
orsakat störning i den samhällsviktiga tjänsten som
1. innebär att transaktioner inte kan eller sannolikt inte kommer att kunna
initieras eller behandlas för
a) minst 25 % av leverantörens normala antal transaktioner, eller
b) minst 25 % av leverantörens användare, eller
2. pågår sammanlagt minst tre timmar under en 24-timmars period.
6 kap.
Rapporteringspliktiga incidenter inom
finansmarknadsinfrastruktur
1 § Leverantörer inom finansmarknadsinfrastruktur ska rapportera
incidenter som orsakat störning i den samhällsviktiga tjänsten som
1. innebär avvikelse från sådan konnektivitet som avses i art. 11 punkt 5
Kommissionens delegerade förordning (EU) 2017/584 av den 14 juli
2016 om komplettering av Europaparlamentets och rådets direktiv
2014/65/EU avseende tekniska tillsynsstandarder som specificerar
organisatoriska krav för handelsplatser,
2. påverkar väsentliga tjänster hos systemviktiga finansiella
infrastrukturföretag och har pågått i minst en timme, eller
3. har pågått i minst två timmar.
7 kap.
Rapporteringspliktiga incidenter inom hälso- och
sjukvård
1 § Leverantörer inom hälso- och sjukvård ska rapportera incidenter som
orsakat störning i den samhällsviktiga tjänsten som
1. innebär att anmälningsskyldighet inträder enligt 3 kap. 5 § första stycket
patientsäkerhetslagen (2010:659),
2. har påverkat tillhandahållandet av ambulans och ambulanssjukvård
enligt 7 kap. 6 § hälso- och sjukvårdslagen (2017:30),
3. innebär att sådan hälso- och sjukvård som baseras på system som
insamlar, bearbetar, lagrar eller distribuerar och presenterar information
inte kan tillhandahållas i minst två timmar, eller
4. har pågått i minst sex timmar.
MSBFS
2018:9
6
8 kap.
Rapporteringspliktiga incidenter inom leverans och
distribution av dricksvatten
1 § Leverantörer inom leverans och distribution av dricksvatten ska
rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten
som
1. har pågått i minst två timmar och som
a) kan antas ha påverkat minst 2 000 personer,
b) har påverkat akutsjukhus, eller
2. har påverkat styrning och övervakning av tjänsten.
9 kap.
Rapporteringspliktiga incidenter inom digital
infrastruktur
1 § Leverantörer inom digital infrastruktur ska rapportera incidenter som
orsakat störning i den samhällsviktiga tjänsten som innebär
1. att toppdomänens namnservertjänst har en tillgänglighet på mindre än
100 procent,
2. förlorad konfidentialitet eller riktighet i lagrade, överförda eller
behandlade data i samband med tillhandahållande av en toppdomäns
namnservertjänst som har berört fler än 2 500 domännamn,
3. att en rekursiv namnservertjänst har en tillgänglighet på mindre än 100
procent under en sammanhängande period som överstiger en timme,
4. förlorad konfidentialitet eller riktighet i lagrade, överförda eller
behandlade data i samband med tillhandahållande av en rekursiv
namnservertjänst som har berört fler än 10 000 användare,
5. att en auktoritativ namnservertjänst har en tillgänglighet på mindre än
100 procent under en sammanhängande period som överstiger två
timmar, eller
6. förlorad konfidentialitet eller riktighet i lagrade, överförda eller
behandlade data i samband med tillhandahållande av en auktoritativ
namnservertjänst som har berört fler än 2 500 domännamn.
___________________
Denna författning träder i kraft den 1 mars 2019.
Myndigheten för samhällsskydd och beredskap
DAN ELIASSON
Carina Wetzel
(Avdelningen för cybersäkerhet och skydd av
samhällsviktig verksamhet)
MSBFS
2018:9
7
Myndigheten för samhällsskydd och beredskaps
allmänna råd om rapportering av incidenter för
leverantörer av samhällsviktiga tjänster
Följande allmänna råd ansluter till Myndigheten för samhällsskydd och
beredskaps föreskrifter om rapportering av incidenter för leverantörer av
samhällsviktiga tjänster. Termer och uttryck som används i föreskrifterna har
samma betydelse här.
Allmänna råd har en annan juridisk status än föreskrifter. Allmänna råd är inte
tvingande. Deras funktion är att förtydliga innebörden i lag, förordning eller
myndighetsföreskrifter och att ge generella rekommendationer om deras
tillämpning.
Allmänna råd är markerade med grå bakgrund.
Myndigheten för samhällsskydd och beredskap
ÅKE HOLMGREN
Carina Wetzel
(Avdelningen för cybersäkerhet och skydd av
samhällsviktig verksamhet)
MSBFS
2018:9
8
2 kap. Rapportering
Hur rapportering ska ske
2 §
Anvisade kontaktvägar finns på www.msb.se.
När rapportering ska ske
3 §
Leverantören bör säkerställa att det finns interna regler och arbetssätt för att
utan dröjsmål kunna identifiera om en incident uppfyller kriterierna i
kap. 3-9 och därmed är rapporteringspliktig.
Rapportens innehåll
4 §
p 2.
Kontaktuppgifter bör hållas uppdaterade och bör inkludera roll,
telefonnummer och e-postadress samt uppgift om tillgänglighet.
p 5. e)
En beskrivning av konsekvenser bör göras utifrån tillgänglighet, riktighet
och konfidentialitet.
p 11.
Vid rapportering av vilka åtgärder som planeras bör sådana åtgärder som
vidtas för att hantera incidentens grundorsak redovisas.
5 §
Även uppgifter som vid rapportering bedöms vara korrekta bör korrigeras
om de senare visar sig vara felaktiga.
Beställningsadress:
Norstedts Juridik, 106 47 Stockholm
Telefon: 08-598 191 90
E-postadress:
kundservice@nj.se
Webbadress:
www.nj.se/offentligapublikationer