Säpo

Anmälan vid säkerhetshotande händelser och verksamhet

Myndigheter och privata aktörer som bedriver säkerhetskänslig verksamhet ska skyndsamt anmäla till Säkerhetspolisen om de får kännedom om säkerhetshotande händelser eller verksamhet. Verksamhetsutövaren ansvarar för att det finns ett fullgott säkerhetsskydd.

En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om:

  1. en säkerhetsskyddsklassificerad uppgift kan ha röjts,
  2. det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller
  3. verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet

Ansvaret för ett fullgott säkerhetsskydd, i aktuellt fall skydd för uppgifter som omfattas av sekretess till skydd för Sveriges säkerhet, åligger den egna verksamheten.

Anmälan till Försvarsmakten

Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde ska anmälan också göras till Försvarsmakten.

Hur ska säkerhetshotande händelser och verksamhet rapporteras?

Verksamhetsutövare är skyldiga att anmäla säkerhetshotande händelser och verksamhet skyndsamt. En första kontakt kan med fördel tas via mejl till sakerhetsskydd@sakerhetspolisen.se eller via telefon till 010-568 70 00.

Verksamhetsutövaren ska upprätta en skriftlig rapport om händelsen eller verksamheten och bedöma den enligt offentlighets- och sekretesslagen (2009:400) och, i förekommande fall, säkerhetsskyddslagen (2018:585). Det ska ske innan den lämnas till Säkerhetspolisen.

Om rapporten innehåller säkerhetsskyddsklassificerade uppgifter ska den skickas till Säkerhetspolisen i enlighet med gällande hanteringsregler. Om den ska skickas elektroniskt måste det ske med kryptografisk funktion (signalskyddsystem) som godkänts av Försvarsmakten. Rapporten kan även lämnas på Säkerhetspolisens huvudkontor eller regionala kontor.

Vad ska rapporten innehålla?

Den skriftliga rapporten om den säkerhetshotande händelsen eller verksamheten som ska lämnas till Säkerhetspolisen bör innehålla:

  • Aktuella kontaktuppgifter
  • En beskrivning av den säkerhetshotande händelsen eller verksamheten
    • Konstaterad
    • Misstänkt
  • Den exakta eller uppskattade tidpunkten för när händelsen eller verksamheten inträffade
  • Den exakta eller uppskattade tidpunkten för när händelsen eller verksamheten upptäcktes
  • Status för händelsen eller verksamheten
    • Pågående
    • Avbruten/hanterad
    • Avslutad
  • Verksamhetsutövarens initiala bedömning av händelsens eller verksamhetens omfattning och konsekvenser, både faktiska och potentiella
    • Vilken säkerhetskänslig verksamhet har påverkats?
  • Verksamhetsutövarens vidtagna och planerade åtgärder
  • K-nummer om en polisanmälan har gjorts
  • En bedömning av skadan utifrån säkerhetsskyddsklassificeringen av de röjda uppgifterna
    • Kvalificerat hemlig vid en synnerligen allvarlig skada,
    • Hemlig vid en allvarlig skada,
    • Konfidentiell vid en inte obetydlig skada eller
    • Begränsat hemlig vid endast ringa skada

Om verksamhetsutövaren upptäcker att uppgifter i rapporten är felaktiga avseende kategori, omfattning eller konsekvens, ska verksamhetsutövaren komplettera eller korrigera rapporten till Säkerhetspolisen snarast.

It-incidentrapportering till MSB

It-incidenter i statliga myndigheters informationssystem enligt 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska rapporteras till Myndigheten för samhällsskydd och beredskap (MSB). MSB är också mottagare av incidentrapportering som ska ske enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

CERT-SE på Myndigheten för samhällsskydd och beredskaps webbplats.länk till annan webbplats, öppnas i nytt fönster