MSBFS 2020:8
Bemyndigande
1 § Dessa föreskrifter innehåller bestämmelser om rapportering av it-incidenter enligt 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
It-incidenter som omfattas av rapporteringsskyldighet
2 § Med it-incidenter som omfattas av rapporteringsskyldighet menas en it-incident som 1. påverkat riktigheten, tillgängligheten eller konfidentialiteten hos den information som bedömts ha behov av utökat skydd, eller 2. inneburit att informationssystem som behandlar information som bedömts ha behov av utökat skydd inte kunnat upprätthålla avsedd funktionalitet, eller 3. påverkat myndighetens förmåga att utföra sitt uppdrag, eller 4. i övrigt allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation.
Bedömningen av om informationen är i behov av utökat skydd ska ske genom informationsklassning enligt 6 § p.1 Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6),
___________________________________________________________________________ Förordningen senast ändrad genom SFS 2020:25
MSBFS
2020:8
Hur rapportering ska ske
3 § It-incidenter ska rapporteras via av Myndigheten för samhällsskydd och beredskap anvisade kontaktvägar genom notifiering enligt 4 § och slutrapportering enligt 5 §.
4 § Myndigheten ska skyndsamt, dock senast sex timmar från det att myndigheten har identifierat att en it-incident omfattas av rapporteringsskyldighet, lämna en övergripande beskrivning av vad som inträffat (notifiering).
5 § Myndigheten ska inom fyra veckor från det att myndigheten identifierat att en it-incident omfattas av rapporteringsskyldighet lämna följande uppgifter (slutrapportering). 1. Myndighetens namn. 2. En beskrivning av inträffad it-incident, utifrån
a. tidpunkt för när it-incidenten inträffade och när den upptäcktes, b. tidpunkt för när drabbade informationssystem återgick till normaldrift, c. händelseförlopp, d. hanteringen av it-incidenten, och e. typ, orsak och konsekvenser.
3. Vidtagna och planerade åtgärder med anledning av den inträffade it-incidenten.
6 § På begäran av Myndigheten för samhällsskydd och beredskap ska myndigheten lämna uppgifter som kompletterar rapporteringen enligt 5 §.
7 § Om myndigheten inom ett år från det att slutrapportering har skett konstaterar att lämnade uppgifter är felaktiga ska uppgifterna korrigeras utan onödigt dröjsmål.
Utkontraktering
8 § Om myndigheten överlåter en del av sin informationshantering till en aktör som inte omfattas av rapporteringsskyldighet ska myndigheten se till att aktören åtar sig att rapportera it-incidenter till myndigheten på ett sådant sätt att myndigheten kan uppfylla kraven i dessa föreskrifter.
Skyldigheten enligt första stycket gäller med avseende på överenskommelser som träffas efter dessa föreskrifters ikraftträdande.
Kontaktuppgifter
9 § Myndigheten ska hålla Myndigheten för samhällsskydd och beredskap informerad om aktuella kontaktuppgifter till den funktion vid myndigheten som ska ta emot information om it-incidenter från Myndigheten för samhällsskydd och beredskap.
MSBFS
2020:8
______________
Ikraftträdande
Dessa föreskrifter träder i kraft den 1 oktober 2020 då Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS 2016:2) om statliga myndigheters rapportering av it-incidenter upphör att gälla.
Myndigheten för samhällsskydd och beredskap
DAN ELIASSON
Andreas Häll (Avdelningen för cybersäkerhet och säker kommunikation)
Beställningsadress:
Norstedts Juridik, 106 47 Stockholm Telefon: 08-598 191 90 E-post: kundservice@nj.se Webbadress: www.nj.se/offentligapublikationer Beställningsnummer: 19120-08