lagen.
MSBFS 2020:8

MSBFS 2020:8

Utgivare
Myndigheten för samhällsskydd och beredskap
Beslutad
2020-09-01
Ikraftträdande
2020-10-01
Utkom från trycket
2020-09-11

Källa

Bemyndigande

1 § Dessa föreskrifter innehåller bestämmelser om rapportering av it-incidenter enligt 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.

It-incidenter som omfattas av rapporteringsskyldighet

2 § Med it-incidenter som omfattas av rapporteringsskyldighet menas en it-incident som 1. påverkat riktigheten, tillgängligheten eller konfidentialiteten hos den information som bedömts ha behov av utökat skydd, eller 2. inneburit att informationssystem som behandlar information som bedömts ha behov av utökat skydd inte kunnat upprätthålla avsedd funktionalitet, eller 3. påverkat myndighetens förmåga att utföra sitt uppdrag, eller 4. i övrigt allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation.

Bedömningen av om informationen är i behov av utökat skydd ska ske genom informationsklassning enligt 6 § p.1 Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6),

___________________________________________________________________________ Förordningen senast ändrad genom SFS 2020:25

MSBFS

2020:8

Hur rapportering ska ske

3 § It-incidenter ska rapporteras via av Myndigheten för samhällsskydd och beredskap anvisade kontaktvägar genom notifiering enligt 4 § och slutrapportering enligt 5 §.

4 § Myndigheten ska skyndsamt, dock senast sex timmar från det att myndigheten har identifierat att en it-incident omfattas av rapporteringsskyldighet, lämna en övergripande beskrivning av vad som inträffat (notifiering).

5 § Myndigheten ska inom fyra veckor från det att myndigheten identifierat att en it-incident omfattas av rapporteringsskyldighet lämna följande uppgifter (slutrapportering). 1. Myndighetens namn. 2. En beskrivning av inträffad it-incident, utifrån

a. tidpunkt för när it-incidenten inträffade och när den upptäcktes, b. tidpunkt för när drabbade informationssystem återgick till normaldrift, c. händelseförlopp, d. hanteringen av it-incidenten, och e. typ, orsak och konsekvenser.

3. Vidtagna och planerade åtgärder med anledning av den inträffade it-incidenten.

6 § På begäran av Myndigheten för samhällsskydd och beredskap ska myndigheten lämna uppgifter som kompletterar rapporteringen enligt 5 §.

7 § Om myndigheten inom ett år från det att slutrapportering har skett konstaterar att lämnade uppgifter är felaktiga ska uppgifterna korrigeras utan onödigt dröjsmål.

Utkontraktering

8 § Om myndigheten överlåter en del av sin informationshantering till en aktör som inte omfattas av rapporteringsskyldighet ska myndigheten se till att aktören åtar sig att rapportera it-incidenter till myndigheten på ett sådant sätt att myndigheten kan uppfylla kraven i dessa föreskrifter.

Skyldigheten enligt första stycket gäller med avseende på överenskommelser som träffas efter dessa föreskrifters ikraftträdande.

Kontaktuppgifter

9 § Myndigheten ska hålla Myndigheten för samhällsskydd och beredskap informerad om aktuella kontaktuppgifter till den funktion vid myndigheten som ska ta emot information om it-incidenter från Myndigheten för samhällsskydd och beredskap.

MSBFS

2020:8

______________

Ikraftträdande

Dessa föreskrifter träder i kraft den 1 oktober 2020 då Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS 2016:2) om statliga myndigheters rapportering av it-incidenter upphör att gälla.

Myndigheten för samhällsskydd och beredskap

DAN ELIASSON

Andreas Häll (Avdelningen för cybersäkerhet och säker kommunikation)

Beställningsadress:

Norstedts Juridik, 106 47 Stockholm Telefon: 08-598 191 90 E-post: kundservice@nj.se Webbadress: www.nj.se/offentligapublikationer Beställningsnummer: 19120-08