Säpo

Rapportering av it-incidenter

Statliga myndigheter ska rapportera allvarliga it-incidenter i sina informationssystem. I vissa fall ska anmälan göras till Säkerhetspolisen.

De myndigheter som Säkerhetspolisen är tillsynsmyndighet för ska anmäla it-incidenter i informationssystem till Säkerhetspolisen om:

  • Incidenten allvarligt kan påverka säkerheten i ett informationssystem där hemliga uppgifter behandlas i en omfattning som inte är ringa
  • Incidenten allvarligt kan påverka säkerheten i ett informationssystem som särskilt behöver skyddas mot terrorism
  • Incidenten upptäckts genom stöd enligt 4 § förordningen (2007:937) med instruktion för Försvarets radioanstalt

De myndigheter som Försvarsmakten är tillsynsmyndighet för ska göra motsvarande anmälan till Försvarsmakten. Sedan ska myndigheten skyndsamt informera Säkerhetspolisen om detta.

Skyldigheten att rapportera it-incidenter finns reglerad i 10 a § säkerhetsskyddsförordningen (1996:633).

Övriga allvarliga it-incidenter i statliga myndigheters informationssystem ska rapporteras till Myndigheten för samhällsskydd och beredskap, MSB. För mer information, se MSB:s webbplats cert.selänk till annan webbplats.

Rapportera en it-incident till Säkerhetspolisen

Myndigheter är skyldiga att rapportera it-incidenter skyndsamt. Om en it-incident har inträffat, ta i första hand kontakt med Säkerhetspolisen via telefon.
Kontakta Säkerhetspolisen

Efter den första kontakten via telefon önskar Säkerhetspolisen en skriftlig rapport om it-incidenten. Rapporten ska innehålla:

  • Myndighetens namn
  • Kontaktperson
  • En beskrivning av it-incidenten
  • Den exakta eller uppskattade tidpunkten för när it-incidenten inträffade
  • När myndigheten upptäckte it-incidenten och om den alltjämt pågår eller är avslutad
  • Vilken eller vilka kategorier it-incidenten tillhör
  • Myndighetens initiala bedömning av it-incidentens omfattning och konsekvenser, både faktiska och potentiella
  • K-nummer, om en polisanmälan redan har gjorts

Om den rapporterande myndigheten vid sin interna incidentutredning konstaterar att inrapporterade uppgifter om kategorier, omfattning och konsekvenser varit missvisande eller felaktiga är det önskvärt att myndigheten kompletterar eller korrigerar sin rapport till Säkerhetspolisen så snart som möjligt.

Så lämnas rapporten till Säkerhetspolisen

Den rapporterande myndigheten ska sekretessbedöma incidentrapporten innan den lämnas till Säkerhetspolisen och iaktta de regler som myndigheten bedömer är tillämpliga.

Om rapporten innehåller hemliga uppgifter ska den skickas till Säkerhetspolisen som värdepost, rekommenderad post eller motsvarande. Den kan även skickas elektroniskt med kryptosystem som godkänts av Försvarsmakten. Rapporten kan även lämnas på Säkerhetspolisens huvudkontor eller regionala kontor.