Till innehåll på sidan

Rapportera it-incident som statlig myndighet

Statliga myndigheter är skyldiga att rapportera it-incidenter till MSB. Detta ska ske inom sex timmar från att incidenten är identifierad. Här finns information om vilka incidenter som ska rapporteras och hur det ska rapporteras i olika skeden.

Om det inträffar en it-incident för dig på statlig myndighet ska det rapporteras till MSB. Här finns information om hur du rapporterar. 

  • It-incidenter som ska rapporteras

    Statliga myndigheter ska rapportera it-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för. Detsamma gäller tjänster som myndigheten levererar till en annan organisation. Detta enligt förordning (2022:524) om statliga myndigheters beredskap.

    Kravet omfattar it-incidenter som har:

    • Påverkan på riktigheten, tillgängligheten eller konfidentialiteten hos information som bedömts ha behov av utökat skydd.
    • Påverkan på myndighetens förmåga att utföra sitt uppdrag.
    • Allvarlig påverkan på säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation.
    • Påverkan på att informationssystem, som behandlar information som bedömts ha behov av utökat skydd, inte kunnat upprätthålla avsedd funktionalitet.

    Undantag

    Om det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, ska detta anmälas till Säkerhetspolisen.

    Anmäl säkerhetshotande händelser på Säkerhetspolisens webbplats

    Myndigheten ska bedöma incidenten genom informationsklassning
    Det är myndighetens ansvar att göra en egen bedömning av vilka it-incidenter som allvarligt kan påverka säkerheten i organisationens informationssystem. Myndigheten behöver även göra en självständig bedömning av vilken information som är i behov av utökat skydd genom att göra en informationsklassning.

Hur du rapporterar en it-incident som statlig myndighet

1. Notifiera MSB inom sex timmar

Notifieringen ska i första hand göras digitalt via verktyget IRON. Vid behov av stöd ska den rapporterande myndigheten underrätta CERT-SE vid MSB om incidenten via telefon på: 010-240 40 40. 

Inloggning och autentisering i verktyget IRON sker med hjälp av BankID eller Freja eID. Genom att logga in i IRON ges tillgång till de formulär som finns för incidentrapportering. 

Om bedömningen är att incidenten även haft påverkan på leveransen av en samhällsviktig tjänst bör rapportering i enlighet med NIS-direktivet även göras.

I rapporten eller samtalet ska ni svara på frågorna nedan, beroende på hur mycket ni känner till samt utifrån att samtalet sker på öppen telefonlina.

  • Vad har hänt?
  • Hur och när upptäcktes problemet?
  • Vilka parter är inblandade i incidenthanteringen?
  • Finns det en brottsmisstanke och har en polisanmälan upprättats?
  • Finns det behov av stöd från CERT-SE och vilka kontaktvägar ska användas för detta?

Efter rapporten eller samtalet organiserar CERT-SE eventuell samverkan som krävs för att lösa incidenten och sprider rekommenderade åtgärder eller varningar.

IRON-verktyget för rapportering av it-incident

2. Skicka en slutrapport till MSB inom 4 veckor

En slutrapport ska skickas till MSB, via IRON-verktyget, inom fyra veckor. Slutrapporten ska beskriva:

  • vad it-incidenten bestod av
  • konsekvenserna av incidenten och
  • om den är pågående eller avslutad.

IRON-verktyget för rapportering av it-incident

  • Om IRON-verktyget inte är tillgängligt - skicka in skriftligt

    Skulle inte IRON-verktyget vara tillgängligt kan du rapportera skriftligt via formulär.

    Formulär för att rapportera statliga myndigheters it-incidenter

    Hur du ska skicka in rapporten beror på om den omfattas av sekretess.

    Det är den rapporterande aktören som gör bedömningen.
    OBS! Ni kan alltid, oavsett sekretess eller inte, lämna in slutrapporten personligen. Det görs till vakten i MSB:s reception i Solna på Terminalvägen 14. Adressera rapporten till CERT-SE.

    Ej sekretess:

    Mejla till rapport@it-incident.se.

    Rekommenderat brev (se adressuppgifter nedan)

    Värdepost (se adressuppgifter nedan)

    Sekretess, men rör inte Sveriges säkerhet:

    Rekommenderat brev

    Rekommenderat brev används för rapporter som omfattas av sekretess enligt 18 kapitel 8 § eller 18 kapitel 13 § i offentlighets- och sekretesslagen, OSL (2009:400) och som inte rör Sveriges säkerhet.

    Rapporten skickas i kuvert i säkerhetspåse som rekommenderat brev till (exakt adress):

    MSB
    CERT-SE
    Box 6081
    171 06 Solna

    Sekretess och berör Sveriges säkerhet:

    • Signalskydd: Rapporter som omfattas av sekretess på grund av skydd av Sveriges säkerhet ska i första hand rapporteras via signalskyddssystem (MGS, MGM). Det är system som Försvarsmakten har godkänt för att skydda säkerhetsskyddsklassificerade uppgifter.
    • Värdepost: Om det inte är möjligt skickas rapporten i kuvert i säkerhetspåse som värdepost till (exakt adress):

    MSB
    CERT-SE
    Terminalvägen 10
    171 73 Solna

    Kompletteringar

    Eftersom it-incidenter kan påverka säkerheten hos statliga myndigheter är det viktigt att informationen är rätt. Det är också viktigt eftersom informationen som lämnas är utgångspunkt för hela samhällets informationssäkerhet.

    MSB kan komma att kontakta er för en fördjupad analys om det finns misstankar om att de it-incidenter som har rapporterats kan få snabb spridning eller omfattande konsekvenser för samhället.

    MSB kan också begära in kompletterande uppgifter för att avgöra om it-incidenter från olika aktörer har något samband eller om de exempelvis har orsakats av samma anledning. Syftet är att begränsa skada och förebygga liknande it-incidenter i samhället.

    Upptäcker ni som rapporterande myndighet att uppgifter om kategorier, omfattning och konsekvenser varit missvisande eller felaktiga ska ni komplettera eller korrigera rapporten så snart som möjligt.

  • Så skyddar MSB din information

    Sekretess

    Precis som för andra myndigheter styrs MSB:s hantering av information av handlingsoffentlighet och sekretess. Den information som kommer till MSB i samband med it-incidentrapportering utgörs av olika kategorier av information, där delar av den kan omfattas av sekretess medan andra delar kan vara information som normalt inte omfattas av sekretess.

    Den information som kommer till MSB kan vara av olika slag men ger i många fall upplysningar om en organisations it- eller kommunikationssystem. Om MSB bedömer att det finns en risk att säkerhetsarbetet försvåras om informationen röjs finns det stöd i lagen att sekretessbelägga sådan information. Sekretessbestämmelsen innebär också en tystnadsplikt för MSB:s medarbetare och brott mot denna är straffsanktionerat.

    Vilken information som kan omfattas av sekretess och inte beror till stor del på sammanhanget, vilket gör att informationen som inkommer behöver bedömas. Exempelvis kan bara själva uppgiften om att en organisation har utsatts för en allvarlig incident i sig utgöra känslig information, då andra myndigheter eller organisationer som har liknande brister också kan riskera att utsättas innan riskerna har hunnit åtgärdas.

    Om en uppgift begärs utlämnad gör MSB därför en prövning av sekretessen. Det är MSB som självständigt prövar frågan och MSB:s beslut att neka utlämnande kan överklagas till Kammarrätten.

    Säkerhet

    Det är avgörande att information hanteras säkert i rutiner och verktyg. Den information som kommer till MSB ges ett kvalificerat skydd genom rutiner och processer som säkerställer ett korrekt hanterande av informationen samt system med hög teknisk säkerhetsgrad.

Fördjupad analys och komplettering

Om det finns misstankar om att de it-incidenter som har rapporterats kan få snabb spridning eller omfattande konsekvenser för samhället kan en fördjupad analys behövas.

Kompletterande uppgifter kan också begäras in för att avgöra om it-incidenter som olika myndigheter har rapporterat in har något samband eller om de exempelvis har orsakats av samma anledning. Syftet med att komplettera uppgifter kan också vara för att kunna begränsa skada och förebygga liknande it-incidenter i samhället.

Skydd av information

Det är viktigt för MSB att den information som lämnas in och genereras i samband med rapporteringen av en incident ges ett kvalificerat skydd. Incidentrapporter som kommer in till MSB är en allmän handling. En central aspekt är därför MSB:s möjligheter att sekretessbelägga inkommen information. Om en uppgift begärs utlämnad gör MSB en prövning av sekretessen och om uppgiften bedöms omfattas av sekretess får den inte lämnas ut.

Så skyddar MSB din information: informationsbehandling vid it-incidenthanteringSedan 1 oktober 2022 vidarebefordrar MSB inrapporterade incidenter som har sin grund i brottslig handling till Polisen

Incidenter som att döma av hur de beskrivs (i val av orsak eller i fritext) kan antas ha sin grund i en brottslig handling kommer att vidarebefordras till Polismyndigheten där en polisanmälan kan komma att upprättas. Klicka på rullgardinsrutan nedan för mer detaljer.

För frågor, kontakta: itbrottssamverkan@msb.se

Återkallande av incidentrapport

I det fall bedömningen av en inrapporterad incident förändras på det sätt att incidenten inte längre bedöms vara rapporteringspliktig är det möjligt att återkalla rapporten. Återkallande eller i annat fall korrigering av felaktiga uppgifter skall meddelas utan onödigt dröjsmål, dock senast inom ett år efter rapportering. Det kan göras oavsett hur många skeden av rapporteringen som redan skickats in, förutsatt att första skedets rapportering är inskickat.

Återkallande av incidentrapport kan ske både genom att kontakta aktuell tillsynsmyndighet alternativt CERT-SE, cert@cert.se.

Kontakt och rådgivning

Om du har frågor om it-incidentrapportering kan du kontakta CERT-SE på cert@cert.se eller 010-240 40 40.

Senast granskad: 9 februari 2024

Till toppen av sidan