MSBFS 2020:8
Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av it-incidenter för statliga myndigheter
beslutade den 1 september 2020.
Myndigheten för samhällsskydd och beredskap föreskriver följande med stöd av 21 § förordningen (2015:1052)1 om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
Tillämpningsområde
1 §
Dessa föreskrifter innehåller bestämmelser om rapportering av it-incidenter enligt 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
It-incidenter som omfattas av rapporteringsskyldighet
2 §
Med it-incidenter som omfattas av rapporteringsskyldighet menas en it-incident som
- påverkat riktigheten, tillgängligheten eller konfidentialiteten hos den information som bedömts ha behov av utökat skydd, eller
- inneburit att informationssystem som behandlar information som bedömts ha behov av utökat skydd inte kunnat upprätthålla avsedd funktionalitet, eller
- påverkat myndighetens förmåga att utföra sitt uppdrag, eller
- i övrigt allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation.
Bedömningen av om informationen är i behov av utökat skydd ska ske genom informationsklassning enligt 6 § p.1 Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6),
Hur rapportering ska ske
3 §
It-incidenter ska rapporteras via av Myndigheten för samhällsskydd och beredskap anvisade kontaktvägar genom notifiering enligt 4 § och slutrapportering enligt 5 §.
4 §
Myndigheten ska skyndsamt, dock senast sex timmar från det att myndigheten har identifierat att en it-incident omfattas av rapporteringsskyldighet, lämna en övergripande beskrivning av vad som inträffat (notifiering).
5 §
Myndigheten ska inom fyra veckor från det att myndigheten identifierat att en it-incident omfattas av rapporteringsskyldighet lämna följande uppgifter (slutrapportering).
- Myndighetens namn.
- En beskrivning av inträffad it-incident, utifrån
- tidpunkt för när it-incidenten inträffade och när den upptäcktes,
- tidpunkt för när drabbade informationssystem återgick till normaldrift,
- händelseförlopp,
- hanteringen av it-incidenten, och
- typ, orsak och konsekvenser.
- Vidtagna och planerade åtgärder med anledning av den inträffade it-incidenten.
6 §
På begäran av Myndigheten för samhällsskydd och beredskap ska myndigheten lämna uppgifter som kompletterar rapporteringen enligt 5 §.
7 §
Om myndigheten inom ett år från det att slutrapportering har skett konstaterar att lämnade uppgifter är felaktiga ska uppgifterna korrigeras utan onödigt dröjsmål.
Utkontraktering
8 §
Om myndigheten överlåter en del av sin informationshantering till en aktör som inte omfattas av rapporteringsskyldighet ska myndigheten se till att aktören åtar sig att rapportera it-incidenter till myndigheten på ett sådant sätt att myndigheten kan uppfylla kraven i dessa föreskrifter.
Skyldigheten enligt första stycket gäller med avseende på överenskommelser som träffas efter dessa föreskrifters ikraftträdande.
Kontaktuppgifter
9 §
Myndigheten ska hålla Myndigheten för samhällsskydd och beredskap informerad om aktuella kontaktuppgifter till den funktion vid myndigheten som ska ta emot information om it-incidenter från Myndigheten för samhällsskydd och beredskap.