MSBFS 2020:8

Myndigheten för samhällsskydd och

beredskaps författningssamling

1 kap.

1

Myndigheten för samhällsskydd och beredskaps

föreskrifter om rapportering av it-incidenter för

statliga myndigheter;

beslutade den 1 september 2020.

Myndigheten för samhällsskydd och beredskap föreskriver följande med

stöd av 21 § förordningen (2015:1052)¹ om krisberedskap och

bevakningsansvariga myndigheters åtgärder vid höjd beredskap.

Tillämpningsområde

1 §

Dessa föreskrifter innehåller bestämmelser om rapportering av

it-incidenter enligt 20 § förordningen (2015:1052) om krisberedskap och

bevakningsansvariga myndigheters åtgärder vid höjd beredskap.

It-incidenter som omfattas av rapporteringsskyldighet

2 §

Med it-incidenter som omfattas av rapporteringsskyldighet menas en

it-incident som

1. påverkat riktigheten, tillgängligheten eller konfidentialiteten hos den

information som bedömts ha behov av utökat skydd, eller

2. inneburit att informationssystem som behandlar information som

bedömts ha behov av utökat skydd inte kunnat upprätthålla avsedd

funktionalitet, eller

3. påverkat myndighetens förmåga att utföra sitt uppdrag, eller

4. i övrigt allvarligt kan påverka säkerheten i den informations-

hantering som myndigheten ansvarar för, eller i tjänster som

myndigheten tillhandahåller åt en annan organisation.

Bedömningen av om informationen är i behov av utökat skydd ska ske

genom informationsklassning enligt 6 § p.1 Myndigheten för samhällsskydd

och beredskaps föreskrifter om informationssäkerhet för statliga

myndigheter (MSBFS 2020:6),

___________________________________________________________________________

1

Förordningen senast ändrad genom SFS 2020:25

Utgivare: Anna Asp, Myndigheten för samhällsskydd och beredskap

ISSN 2000-1886

MSBFS

2020:8

Utkom från trycket

den 11 september 2020

MSBFS

2020:8

2

Hur rapportering ska ske

3 §

It-incidenter ska rapporteras via av Myndigheten för samhällsskydd

och beredskap anvisade kontaktvägar genom notifiering enligt 4 § och

slutrapportering enligt 5 §.

4 §

Myndigheten ska skyndsamt, dock senast sex timmar från det att

myndigheten har identifierat att en it-incident omfattas av

rapporteringsskyldighet, lämna en övergripande beskrivning av vad som

inträffat (notifiering).

5 §

Myndigheten ska inom fyra veckor från det att myndigheten

identifierat att en it-incident omfattas av rapporteringsskyldighet

lämna

följande uppgifter (slutrapportering).

1. Myndighetens namn.

2. En beskrivning av inträffad it-incident, utifrån

a. tidpunkt för när it-incidenten inträffade och när den

upptäcktes,

b. tidpunkt för när drabbade informationssystem återgick till

normaldrift,

c. händelseförlopp,

d. hanteringen av it-incidenten, och

e. typ, orsak och konsekvenser.

3. Vidtagna och planerade åtgärder med anledning av den inträffade

it-incidenten.

6 §

På begäran av Myndigheten för samhällsskydd och beredskap ska

myndigheten lämna uppgifter som kompletterar rapporteringen enligt 5 §.

7 §

Om myndigheten inom ett år från det att slutrapportering har skett

konstaterar att lämnade uppgifter är felaktiga ska uppgifterna korrigeras

utan onödigt dröjsmål.

Utkontraktering

8 §

Om myndigheten överlåter en del av sin informationshantering till en

aktör som inte omfattas av rapporteringsskyldighet ska myndigheten se till

att aktören åtar sig att rapportera it-incidenter till myndigheten på ett sådant

sätt att myndigheten kan uppfylla kraven i dessa föreskrifter.

Skyldigheten enligt första stycket gäller med avseende på

överenskommelser som träffas efter dessa föreskrifters ikraftträdande.

Kontaktuppgifter

9 §

Myndigheten ska hålla Myndigheten för samhällsskydd och

beredskap informerad om aktuella kontaktuppgifter till den funktion vid

myndigheten som ska ta emot information om it-incidenter från

Myndigheten för samhällsskydd och beredskap.

MSBFS

2020:8

3

______________

Ikraftträdande

Dessa föreskrifter träder i kraft den 1 oktober 2020 då Myndigheten för

samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS

2016:2) om statliga myndigheters rapportering av it-incidenter upphör att

gälla.

Myndigheten för samhällsskydd och beredskap

DAN ELIASSON

Andreas Häll

(Avdelningen för cybersäkerhet

och säker kommunikation)

Beställningsadress:

Norstedts Juridik, 106 47 Stockholm

Telefon: 08-598 191 90

E-post: kundservice@nj.se

Webbadress: www.nj.se/offentligapublikationer

Beställningsnummer: 19120-08