De här it-incidenterna ska rapporteras

Enligt förordning (2022:524) om statliga myndigheters beredskap, ska it-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten levererar till en annan organisation rapporteras till MSB.

Följande it-incidenter ska rapporteras:

• Påverkan på riktigheten, tillgängligheten eller konfidentialiteten hos information som bedömts ha behov av utökat skydd.
• Om informationssystem som behandlar information som bedömts ha behov av utökat skydd inte kunnat upprätthålla avsedd funktionalitet.
• Påverkan på myndighetens förmåga att utföra sitt uppdrag.
• Allvarlig påverkan på säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation.

Bedömningen av om informationen är i behov av utökat skydd ska ske genom informationsklassning enligt 6 § punkt 1 Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).

Det kan finnas många orsaker till att en it-incident uppstår men exempel på orsaker är:

• mänsklig handling i antagonistiskt syfte
• mänsklig handling utan antagonistiskt syfte
• systemfel
• naturhändelse

Varje myndighet behöver sedan göra en självständig bedömning av vilka it-incidenter som allvarligt kan påverka säkerheten i organisationens informationssystem.

Incidenter som omfattas av 2 kap. 4 § säkerhetsskyddsförordningen (2021:955) ska inte rapporteras till MSB inom ramen för statliga myndigheters rapportering.

Föreskrifter, allmänna råd och stöd

Krav på åtgärder för att hantera incidenter och avvikelser och på att myndigheten klassar sin information finns i Föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet.

Krav på att myndigheten dokumenterar it-miljön och vilka informationssystem som har behov av utökat skydd finns i Föreskrifter och allmänna råd om säkerhetsåtgärder i informationssystem.