Säpo

Obligatorisk it-incidentrapportering

Från och med den 1 april 2016 ska myndigheter som står under Säkerhetspolisens tillsyn skyndsamt anmäla till Säkerhetspolisen om det inträffat en it-incident i myndighetens informationssystem.

It-incidenter i myndighetens informationssystem ska anmälas till Säkerhetspolisen om:

  1. Incidenten allvarligt kan påverka säkerheten i ett informationssystem där hemliga uppgifter behandlas i en omfattning som inte är ringa,
  2. Incidenten allvarligt kan påverka säkerheten i ett informationssystem som särskilt behöver skyddas mot terrorism
  3. Incidenten upptäckts genom stöd enligt 4 § förordningen (2007:937) med instruktion för Försvarets radioanstalt.

Myndigheter som står under Försvarsmaktens tillsyn har en skyldighet att skyndsamt informera Säkerhetspolisen i de fall det inträffat en incident enligt ovan och incidenten har rapporterats till Försvarsmakten.

De nya kraven framgår av en ny bestämmelse, 10 a §, i säkerhetsskyddsförordningen (1996:633).

I de fall rapportering inte ska ske till Säkerhetspolisen enligt bestämmelsen i 10 a §, ska myndigheten istället rapportera it-incidenter till Myndigheten för samhällsskydd och beredskap. Klicka här för mer informationlänk till annan webbplats, öppnas i nytt fönster.

Vad gäller för rapportering av it-incidenter?

När ska rapportering ske?

Varje myndighet ska skyndsamt rapportera en it-incident efter det att myndigheten upptäckt den rapporteringspliktiga incidenten.

Hur sker kontakt med Säkerhetspolisen?

Om en it-incident har inträffat, ta i första hand kontakt med Säkerhetspolisen på telefonnummer 010-568 71 01. 

Vad bör rapporten innehålla?

När en första kontakt har tagits via telefon önskar Säkerhetspolisen en skriftlig rapportering om it-incidenten. En skriftlig rapport till Säkerhetspolisen bör innehålla följande.

  • Myndighetens namn
  • Kontaktperson
  • En beskrivning av it-incidenten
  • Den exakta eller uppskattade tidpunkten för när it-incidenten inträffade
  • När myndigheten upptäckte it-incidenten och om den alltjämt pågår eller är avslutad
  • Till vilken eller vilka kategorier som it-incidenten hör
  • Myndighetens initiala bedömning av it-incidentens omfattning och konsekvenser, både faktiska och potentiella
  • K-nummer, om en polisanmälan redan har skett.

Om den rapporterande myndigheten vid sin interna incidentutredning konstaterar att inrapporterade uppgifter om kategorier, omfattning och konsekvenser varit missvisande eller felaktiga är det önskvärt att myndigheten kompletterar eller korrigerar sin rapport så snart som möjligt.

Hur ska rapporteringen ske?

Rapporterna ska lämnas till Säkerhetspolisen på följande sätt.

Om rapporten innehåller hemliga uppgifter ska rapporten skickas till Säkerhetspolisen enligt 3 kap 19 § Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd (PMFS 2015:3). Det innebär att rapporten ska skickas som värdepost, rekommenderad post eller motsvarande och med en av myndigheten godkänd distributör. Den kan även skickas elektroniskt med av Försvarsmakten godkänt kryptosystem. Rapporten kan även inlämnas personligen till Säkerhetspolisens huvudkontor eller regionala kontor.