Till innehåll på sidan

Frivillig incidentrapportering

Även aktörer som levererar tjänster viktiga för samhällets funktion men som formellt inte omfattas av NIS-regleringen är välkomna att skicka incidentrapporter till MSB. Denna typ av incidentrapportering gäller dock bara för verksamheter som varken är leverantörer av samhällsviktiga eller digitala tjänster i NIS-regleringens definitioner.

Föreskrifter om frivillig rapportering

MSB:s föreskrifter om frivillig rapportering av incidenter i tjänster som är viktiga för samhällets funktionalitet beskriver hur incidentrapportering går till, när rapportering ska ske och vad incidentrapporterna ska innehålla.

MSBFS 2018:11 föreskrifter och allmänna råd om frivillig rapportering av incidenter i tjänster som är viktiga för samhällets funktionalitetFörordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster ger MSB möjlighet att meddela föreskrifter om frivillig rapportering av incidenter kopplat till NIS-regleringen. Dessa föreskrifter (MSBFS 2018:11) reglerar hur frivillig rapportering av incidenter i tjänster som är viktiga för samhällets funktionalitet går till. Observera att endast verksamheter som varken har identifierats sig som leverantörer av samhällsviktiga eller av digitala tjänster kan rapportera incidenter enligt dessa föreskrifter.

Användarkonto för frivillig incidentrapportering

Alla leverantörer som vill incidentrapportera behöver anmäla en kontaktperson för det användarkonto som används vid incidentrapportering.

Leverantörer av digitala tjänster, eller leverantörer som vill frivilligrapportera, anmäler kontaktperson direkt till MSB.

En och samma kontaktperson kan representera flera olika tjänster och leverantörer. Användarkontona för incidentrapporteringen är personliga. Genom att logga in på verktyget ges tillgång till de formulär som finns för incidentrapportering.

Rapportören väljer det formulär som ska användas utifrån den incident som ska rapporteras. I incidentrapporten anges alltid vilken rapporteringspliktig leverantör rapporten gäller, oavsett om incidentrapportören representerar en eller flera leverantör. Blankett för ansökan om incidentrapporteringskonto för frivillig rapportering är samma för leverantörer av digitala tjänster.


Blankett för ansökan om incidentrapporteringskonto för frivillig rapportering (pdf)

Rapportera en incident

MSB anvisar frivillig rapportering av incidenter i tjänster som är viktiga för samhällets funktionalitet på följande sätt:

Skede 1 (utan onödigt dröjsmål)

Underrätta CERT-SE vid MSB om incidenten via telefon på 010-240 40 40. Informationen utgår från rapportering av uppgifter enligt första skedet (skede 1) i formuläret för frivillig incidentrapportering. Aktören bedömer vilken information som kan lämnas via telefon.

Skede 2 (inom 4 veckor)

Inom fyra veckor från det första rapporteringstillfället ska skriftlig rapportering lämnas utifrån det första och andra skedet (skede 1 och 2) i formuläret för frivillig incidentrapportering.

Rapporten skickas med rekommenderat brev till:

CERT-SE
Myndigheten för samhällsskydd och beredskap
Box 6081
171 06 Solna

Lägg rapporten med informationen i ett separat kuvert inuti försändelsekuvertet (kuvert i kuvert). Alternativt kan rapporten lämnas, adresserad till CERT-SE, personligen till vakten i MSB:s reception i Solna på Terminalvägen 14.

Om du har frågor om rapporteringsvägarna är du välkommen att kontakta CERT-SE på cert@cert.se eller 010-240 40 40. Om du har allmänna frågor om NIS-direktivet är du välkommen att kontakta oss på registrator@msb.se.

Rapportering av uppgifter som rör Sveriges säkerhet

Om det finns behov av att kunna rapportera in uppgifter som omfattas av sekretess och som rör Sveriges säkerhet ska detta endast ske via lämpligt signalskyddssystem, personlig leverans eller rekommenderat brev.

Rapportering till Säkerhetspolisen

It-incidenter som omfattas av 10 § punkt 2 säkerhetsskyddsförordningen (2018:658) ska skyndsamt anmälas till Säkerhetspolisen. En incident som ska anmälas enligt 10 § punkt 2 säkerhetsskyddsförordningen (2018:658) kan i vissa fall, beroende på vilka konsekvenser den får även rapporteras enligt NIS-regleringen.

I rapporteringen ska ni endast lämna sådana personuppgifter och uppgifter om kontaktperson som är nödvändiga för att beskriva incidenten, exempelvis ip-adresser.

Formulär

 

 

Senast granskad: 16 februari 2021

Till toppen av sidan