Rapportera it-incident som NIS-leverantör
Här finns information om vilka incidenter som ska rapporteras och hur det ska rapporteras i olika skeden. It-incidenter som inträffar för en leverantör av samhällsviktig tjänst eller digital tjänst som omfattas av NIS-direktivet, ska rapporteras till MSB inom sex timmar.
Information om NIS2
Observera att informationen på denna sida avser incidentrapportering enligt den första NIS-regleringen och under övergångsperioden till NIS2.
För information om NIS2, se separat sida:
Nya krav på incidentrapportering för verksamhetsutövare som omfattas av både NIS-regleringen och den nya genomförandeförordningen (vissa leverantörer av digitala tjänster)
Leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av marknadsplatser online och leverantörer av sökmotorer, vilka sedan tidigare är reglerade enligt den svenska NIS-lagen, träffas av och behöver beakta EU-kommissionens NIS2-genomförandeförordning från och med den 7 november 2024. För verksamhetsutövare som omfattas innebär detta bland annat nya krav på rapportering av it-incidenter.
Mer information om vad berörda verksamhetsutövare ska tänka på vid incidentrapportering
Om det har inträffat en it-incident för er som NIS-leverantör ska det rapporteras till MSB. Här finns information om hur ni går tillväga.
Identifiera verksamheten som samhällsviktig
Leverantörer av samhällsviktiga och digitala tjänster återfinns i både privat och offentlig verksamhet. Det är verksamheten själv som ansvarar för att identifiera sig som en samhällsviktig tjänst enligt NIS-direktivet och att anmäla detta till respektive tillsynsmyndighet.
-
Incidenter som ska rapporteras
Digitala tjänster:
Leverantörer av digitala tjänster ska utan onödigt dröjsmål rapportera incidenter som har en avsevärd betydande inverkan på tillhandahållandet av en digital tjänst som de erbjuder inom Europeiska unionen.
Samhällsviktiga tjänster:
Här är de incidenter inom respektive samhällsviktigt område som skulle medföra en betydande störning i de tjänster som verksamheterna tillhandahåller.
Energi
- El - Störningen har pågått i minst två timmar och har påverkat
minst 2 000 kunder. - El - Störningen har pågått i minst två timmar och har påverkat
minst 50 % av kunderna. - El - Störningen har påverkat styrning och övervakning av
transmissionsnät, regionnät eller elproduktion. - Gas - Störningen innebär risk för en händelse som resulterar i en
avsevärd försämring av försörjningssituationen för gas. - Gas - Störningen kan leda till avbrott i gasförsörjningen.
- Gas - Störningen har påverkat styrning och övervakning inom
ramen för systemansvarstjänst. - Olja - Störningen har pågått i minst 12 timmar.
- Olja - Störningen påverkar styrning och övervakning av ledning,
överföring och distributionsnätverk under minst två timmar.
Transport
- Störningen har pågått i minst en timme och kan antas ha
påverkat minst 1000 användare. - Störningen har pågått i minst en timme och kan antas ha
påverkat ett sammanhängande geografiskt område om minst 10 000 km2. - Störningen har pågått i minst två timmar.
Bankverksamhet
- Störningen innebär att transaktioner inte kan eller sannolikt inte kommer att kunna initieras eller behandlas för minst 25 % av leverantörens normala antal transaktioner.
- Störningen innebär att transaktioner inte kan eller sannolikt inte kommer att kunna initieras eller behandlas för minst 25 % av leverantörens användare.
- Störningen pågår sammanlagt minst tre timmar under en 24-
timmars period.
Finansmarknadsinfrastruktur
- Störningen innebär avvikelse från sådan konnektivitet som avses i art. 11 punkt 5 Kommissionens delegerade förordning (EU) 2017/584 av den 14 juli 2016 om komplettering av Europaparlamentets och rådets direktiv 2014/65/EU avseende tekniska tillsynsstandarder som specificerar organisatoriska krav för handelsplatser.
- Störningen påverkar väsentliga tjänster hos systemviktiga
finansiella infrastrukturföretag och har pågått i minst en timme - Störningen har pågått i minst två timmar.
Hälso- och sjukvård
- Störningen innebär att anmälningsskyldighet inträder enligt 3 kap. 5 § första stycket patientsäkerhetslagen (2010:659).
- Störningen har påverkat tillhandahållandet av ambulans och
ambulanssjukvård enligt 7 kap. 6 § hälso- och sjukvårdslagen (2017:30). - Störningen innebär att sådan hälso- och sjukvård som baseras på system som insamlar, bearbetar, lagrar eller distribuerar och presenterar information inte kan tillhandahållas i minst två timmar.
- Störningen har pågått i minst sex timmar.
Leverans och distribution av dricksvatten
- Störningen har pågått i minst två timmar och kan antas ha
påverkat minst 2 000 personer. - Störningen har pågått i minst två timmar och har påverkat
akutsjukhus. - Störningen har påverkat styrning och övervakning av tjänsten.
Digital infrastruktur
- Störningen innebär att toppdomänens namnservertjänst har en tillgänglighet på mindre än 100 procent.
- Störningen innebär förlorad konfidentialitet eller riktighet i lagrade, överförda eller behandlade data i samband med tillhandahållande av en toppdomäns namnservertjänst och har berört fler än 2 500 domännamn.
- Störningen innebär att en rekursiv namnservertjänst har en tillgänglighet på mindre än 100 procent under en sammanhängande period som överstiger en timme.
- Störningen innebär förlorad konfidentialitet eller riktighet i lagrade, överförda eller behandlade data i samband med tillhandahållande av en rekursiv namnservertjänst som har berört fler än 10 000 användare.
- Störningen innebär att en auktoritativ namnservertjänst har en tillgänglighet på mindre än 100 procent under en sammanhängande period som överstiger två timmar
- Störningen innebär förlorad konfidentialitet eller riktighet i lagrade, överförda eller behandlade data i samband med tillhandahållande av en auktoritativ namnservertjänst som har berört fler än 2 500 domännamn.
- El - Störningen har pågått i minst två timmar och har påverkat
Anmäl en kontaktperson för rapportering
Alla rapporteringspliktiga leverantörer ska anmäla en kontaktperson för incidentrapportering.
- För leverantörer av samhällsviktiga tjänster anmäls denna via aktuell tillsynsmyndighet.
- Leverantörer av digitala tjänster anmäler kontaktperson direkt till MSB via blankett.
En och samma kontaktperson kan representera flera olika tjänster och leverantörer. Genom att logga in på verktyget IRON med hjälp av BankID eller Freja eID ges tillgång till de formulär som finns för incidentrapportering.
I incidentrapporten anges alltid vilken rapporteringspliktig leverantör rapporten gäller, oavsett om incidentrapportören representerar en eller flera leverantörer.
Blankett: Ansökan om incidentrapporteringskonto för leverantörer av digitala tjänster
1. Notifiera MSB inom sex timmar (skede 1)
Inom sex timmar från det att leverantören har identifierat att en incident är rapporteringspliktig ska leverantören rapportera skede 1 i verktyget IRON alternativt underrätta CERT-SE vid MSB om incidenten via telefon på 010-240 40 40.
Informationen utgår från rapportering av uppgifter enligt första skedet (skede 1) i incidentrapporteringsformuläret för skede 1 och 2.
Leverantören bedömer vilken information som kan lämnas via verktyget IRON respektive per telefon.
2. Rapportera inom 24 timmar (skede 2)
Inom 24 timmar från det att leverantören har identifierat att en incident är rapporteringspliktig ska rapportering ske i verktyget IRON utifrån det första och det andra skedet (skede 1 och 2) i incidentrapporteringsformuläret för leverantörer av samhällsviktiga tjänster.
-
Om verktyget IRON inte är tillgängligt - skicka in rapport skriftligt
Om verktyget inte är tillgängligt så kan rapportering ske skriftligt via formulär.
Incidentrapporteringsformulär för leverantörer av samhällsviktiga tjänster skede 1 och 2
Rapporten skickas då med rekommenderat brev till:
MSB
CERT-SE
Box 6081
171 06 SolnaDet är viktigt att MSB står först i adressen, därefter CERT-SE. Skicka inte med personlig utlämning då vi kan få problem att hämta ut posten.
Lägg rapporten med informationen i ett separat kuvert inuti försändelsekuvertet (kuvert i kuvert). Alternativt kan rapporten lämnas, adresserad till CERT-SE, personligen till vakten i MSB:s reception i Solna på Terminalvägen 14.
Om formulären
Formulären kan med fördel även användas av leverantören vid intern incidentrapportering och vid övning av incidenter samt vid tillfällen då verktyget inte är tillgängligt och rapportering behöver ske skriftligt.
I formulären ska leverantören lämna uppgifter om de olika kategorierna:
hanteringsåtgärder, hot, sårbarheter och förebyggande åtgärder.
Observera att om det behov finns att rapportera mer än en uppgift av varje ovan nämnda kategori ska formulären som finns under rubriken delformulär incidenthantering nedan användas.
3. Skicka en slutrapport till MSB inom 4 veckor (skede 3)
Inom fyra veckor från det första rapporteringstillfället ska rapportering lämnas utifrån det tredje skedet (skede 3) i incidentrapporteringsformuläret för leverantörer av samhällsviktiga tjänster i verktyget IRON.
Vägledning om rapportering av incidenter för leverantörer av digitala tjänster
Vägledning om rapportering av incidenter för leverantörer av samhällsviktiga tjänster
-
Om verktyget IR-ON inte är tillgängligt - skicka in skriftlig rapport
Skulle inte IRON-verktyget vara tillgängligt kan du rapportera skriftligt via formulär.
Incidentrapporteringsformulär för leverantörer av samhällsviktiga tjänster: Skede 3
Hur du ska skicka in rapporten beror på om den omfattas av sekretess.
Det är den rapporterande aktören som gör bedömningen.
OBS! Ni kan alltid, oavsett sekretess eller inte, lämna in slutrapporten personligen. Det görs till vakten i MSB:s reception i Solna på Terminalvägen 14. Adressera rapporten till CERT-SE.Så skyddar MSB din information (länk till publikation)
Ej sekretess:
Mejla till rapport@it-incident.se.
Rekommenderat brev (se adressuppgifter nedan)
Värdepost (se adressuppgifter nedan)
Sekretess, men rör inte Sveriges säkerhet:
Rekommenderat brev
Rekommenderat brev används för rapporter som omfattas av sekretess enligt 18 kapitel 8 § eller 18 kapitel 13 § i offentlighets- och sekretesslagen, OSL (2009:400) och som inte rör Sveriges säkerhet.
Rapporten skickas i kuvert i säkerhetspåse som rekommenderat brev till (exakt adress):
MSB
CERT-SE
Box 6081
171 06 SolnaSekretess och berör Sveriges säkerhet:
- Signalskydd: Rapporter som omfattas av sekretess på grund av skydd av Sveriges säkerhet ska i första hand rapporteras via signalskyddssystem (MGS, MGM). Det är system som Försvarsmakten har godkänt för att skydda säkerhetsskyddsklassificerade uppgifter.
- Värdepost: Om det inte är möjligt skickas rapporten i kuvert i säkerhetspåse som värdepost till (exakt adress):
MSB
CERT-SE
Terminalvägen 10
171 73 SolnaKompletteringar
Eftersom it-incidenter kan påverka säkerheten hos statliga myndigheter är det viktigt att informationen är rätt. Det är också viktigt eftersom informationen som lämnas är utgångspunkt för hela samhällets informationssäkerhet.
MSB kan komma att kontakta er för en fördjupad analys om det finns misstankar om att de it-incidenter som har rapporterats kan få snabb spridning eller omfattande konsekvenser för samhället.
MSB kan också begära in kompletterande uppgifter för att avgöra om it-incidenter från olika aktörer har något samband eller om de exempelvis har orsakats av samma anledning. Syftet är att begränsa skada och förebygga liknande it-incidenter i samhället.
Upptäcker ni som rapporterande myndighet att uppgifter om kategorier, omfattning och konsekvenser varit missvisande eller felaktiga ska ni komplettera eller korrigera rapporten så snart som möjligt.
Delformulär incidentrapportering
Om behov finns att rapportera fler än en hanteringsåtgärd, ett hot, en sårbarhet, eller en förebyggande åtgärd används följande delformulär.
Delformulär Ytterligare hanteringsåtgärder
Skydd av information
Det är viktigt för MSB att den information som lämnas in och genereras i samband med rapporteringen av en incident ges ett kvalificerat skydd. Incidentrapporter som kommer in till MSB är en allmän handling. En central aspekt är därför MSB:s möjligheter att sekretessbelägga inkommen information. Om en uppgift begärs utlämnad gör MSB en prövning av sekretessen och om uppgiften bedöms omfattas av sekretess får den inte lämnas ut.
Så skyddar MSB din information: informationsbehandling vid it-incidenthanteringSedan 1 oktober 2022 vidarebefordrar MSB inrapporterade incidenter som har sin grund i brottslig handling till Polisen
Incidenter som att döma av hur de beskrivs (i val av orsak eller i fritext) kan antas ha sin grund i en brottslig handling kommer att vidarebefordras till Polismyndigheten där en polisanmälan kan komma att upprättas. Klicka på rullgardinsrutan nedan för mer detaljer.
För frågor, kontakta: itbrottssamverkan@msb.se
-
Fördjupad it-brottssamverkan mellan MSB och Polisen
På regeringens uppdrag vidarebefordrar MSB från och med 1 oktober 2022 de notifieringar och ifyllda formulär som rapporteras in till MSB, och som innehåller beskrivningar av incidenter som kan antas ha sin grund i en brottslig handling, till Polismyndigheten där en polisanmälan kan komma att upprättas. Syftet är att öka andelen polisanmälda it-brott och öka möjligheten att klara upp fler brott.
Det är endast incidentrapporter där den rapporterande organisationen har angett att incidenten är orsakad av en mänsklig handling i antagonistiskt syfte, eller där den organisationen i fritext har beskrivit att det handlar om ett angrepp, som omfattas av detta.
Notifieringar och ifyllda formulär bedöms var för sig. Om en rapporterande organisation i sin notifiering har angett att incidenten de notifierar om har, eller verkar ha, sin grund i en brottslig handling så kommer informationen att vidarebefordras till Polismyndigheten. Om den rapporterande organisationen därefter skickar en ett ifyllt formulär där de anger en annan orsak till incidenten så kommer inte det ifyllda formuläret att vidarebefordras till Polismyndigheten. På motsvarande sätt gäller också att om en rapporterande organisation vid sin notifiering anger en orsak som inte kan antas av vara brottslig så kommer informationen inte att vidarebefordras till Polismyndigheten. Om den organisationen sedan skickar in ett ifyllt formulär där de anger en orsak som kan antas vara brottslig så kommer det ifyllda formuläret att vidarebefordras till Polismyndigheten.
Delningen av information till Polismyndigheten genomförs inom ramen för det nationella cybersäkerhetscentrets (NCSC-SE) verksamhet. Information som delas till Polismyndigheten kan också komma att delas med andra myndigheter inom NCSC-SE:s verksamhet.
När Polismyndigheten mottagit notifieringen eller incidentrapporten bedöms huruvida ett brott som hör under allmänt åtal har förövats, om en polisanmälan ska upprättas och om en förundersökning i så fall ska inledas. Informationen som inkommer till Polismyndigheten, såväl som till andra myndigheter inom NCSC-SE, behandlas utifrån tillämpliga sekretessregler.
På detta sätt når de aktörer som rapporterar in incidenter den del av Polismyndigheten som hanterar it-brott på ett nytt sätt.
Den nya rutinen för informationsdelning kommer att utvärderas om ett år, bland annat rörande sätt att både främja incidentrapportering och polisanmälan.MSB kommer även fortsättningsvis att uppmana NIS-leverantörer och statliga myndigheter att göra en polisanmälan om de bedömer att incidenten kan ha orsakats av en brottslig handling eftersom det åligger myndigheten att göra det enligt NIS-regleringen och krisberedskapsförordningen.
Inom vissa organisationer sköts incidentrapportering respektive polisanmälan på olika sätt eller av olika delar av organisationen. Det kan vara värt att se över en sådan ordning i ljuset av det ovanstående. Det åligger rapporteringspliktiga organisationer att ha en intern rutin för att samlat hantera rapportering om inträffade incidenter utifrån den samlade kravbilden.
Återkallande av incidentrapport
I det fall bedömningen av en inrapporterad incident förändras på det sätt att incidenten inte längre bedöms vara rapporteringspliktig är det möjligt att återkalla rapporten. Återkallande eller i annat fall korrigering av felaktiga uppgifter skall meddelas utan onödigt dröjsmål, dock senast inom ett år efter rapportering. Det kan göras oavsett hur många skeden av rapporteringen som redan skickats in, förutsatt att första skedets rapportering är inskickat.
Återkallande av incidentrapport kan ske både genom att kontakta aktuell tillsynsmyndighet alternativt CERT-SE, cert@cert.se.
Incidentrapportering för verksamhetsutövare som omfattas av både NIS-lagen och genomförandeförordningen
Implementeringen av NIS2-direktivet i svensk rätt är försenad och lag och förordning träder i kraft tidigast sommaren 2025. Leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av marknadsplatser online och leverantörer av sökmotorer, vilka sedan tidigare omfattas av den nuvarande NIS-regleringen, träffas dock av och behöver beakta EU-kommissionens genomförandeförordning redan från den 7 november 2024. Anledningen är att nuvarande bestämmelser i NIS-lagen måste beaktas och tolkas i ljuset av NIS2-direktivet under perioden fram tills att NIS2-direktivet är implementerat i nationell lagstiftning.
Genomförandeförordningen specificerar NIS2-direktivets krav på vad som utgör en så kallad betydande incident, det vill säga it-incidenter som omfattas av rapporteringsplikt och därmed ska rapporteras till MSB. I praktiken innebär det att berörda verksamhetsutövare nu ska utgå från genomförandeförordningen när de avgör huruvida en it-incident är rapporteringspliktig. Vad som utgör en betydande incident specificeras i artikel 3–14 i genomförandeförordningen.
Fram tills att NIS2-direktivet är implementerat i nationell lagstiftning ska betydande incidenter rapporteras via det formulär som används för den nuvarande NIS-regleringen. Frågorna i incidentrapporteringsformuläret ska besvaras på ordinarie sätt, med två undantag:
- Fråga 2, där rapportören ombeds besvara vilket kriterium som föranleder incidentrapporteringen, är inte anpassad efter genomförandeförordningens krav. Här räcker det därför med att rapportören väljer det svarsalternativ som bäst stämmer in på varför it-incidenten utgör en betydande incident.
- I det fritextfält som tillhör fråga 11 ska verksamhetsutövaren, utöver att beskriva incidenten och dess hantering, redogöra för varför it-incidenten utgör en betydande incident.
Mer information om hur NIS2-direktivet påverkar tolkningen av nuvarande NIS-reglering under övergångsperioden (riktad mot de NIS2-sektorer där PTS är ansvarig tillsynsmyndighet) finns på PTS webbplats.
Läs mer på Post- och telestyrelsens (PTS) webbplats
Kontakt och rådgivning
Om du har frågor om it-incidentrapportering är du välkommen att kontakta CERT-SE på cert@cert.se eller 010-240 40 40.
Frågor om it-incidentrapportering under övergångsperioden till NIS2 besvaras via NIS2-CER@msb.se.
För allmänna frågor om regleringen kan du kontakta registrator@msb.se.