Rapportera incident enligt beredskapsförordningen
Statliga myndigheter som omfattas av förordningen om statliga myndigheters beredskap (Beredskapsförordningen 2022:524) ska rapportera it-incidenter till Nationellt cybersäkerhetscenter. Här finns information om vilka incidenter som ska rapporteras och hur de ska rapporteras.
Vilka incidenter ska rapporteras?
Vilka incidenter som ska rapporteras i enlighet med beredskapsförordningen specificeras i MCFFS (2026:7) om rapportering av it-incidenter för statliga myndigheter.
MCFFS 2026:7 föreskrifter om rapportering av it-incidenter för statliga myndigheter
I incidenter som omfattas av rapporteringsskyldighet inkluderar incidenter som:
- negativt har påverkat säkerheten hos den information som har bedömts ha ett behov av utökat skydd,
- har inneburit att informationssystem som behandlar information som har bedömts ha behov av utökat skydd inte har kunnat upprätthålla avsedd funktionalitet,
- negativt har påverkat myndighetens förmåga att utföra sitt uppdrag, eller
- i övrigt allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation.
Med information som är i behov av ett utökat skydd avses information som på grund av externa krav kräver en viss nivå av skydd avseende konfidentialitet, riktighet inklusive autenticitet, eller tillgänglighet, alternativt information som myndigheten vid värdering bedömer ha behov av motsvarande nivå av skydd.
Hur ska betydande incidenter rapporteras?
Rapporteringen av betydande incidenter i enlighet med beredskapsförordningen utförs i tre steg. Statliga myndigheter ska vid rapportering av it-incidenter inkomma med
- Upplysning,
- Incidentanmälan och
- Slutrapport.
Incidentrapporteringen ska göras i incidentrapporteringsverktyget som finns i cyberportalen. Mottagare av incidentrapporter är Nationellt cybersäkerhetscenter.
1. Upplysning inom 6 timmar
Så snart som möjligt men senast efter 6 timmar från det att myndigheten identifierat en incident som är rapporteringspliktig ska myndigheten inkomma med en Upplysning.
I samband med att incidentrapporten skickas in tilldelas rapportören ett incidentID. Det är viktigt att spara denna handling då den gör det möjligt att påbörja nästa steg i rapporteringen.
Vid pågående incident
Du kan efterfråga hjälp från CERT-SE.
CERT-SE tillhandahåller rådgivning kring hantering av incidenten och ger stöd till drabbade verksamheter för att lindra påverkan av det inträffade och återställa funktion.
Gör så här vid pågående it-incident:
- Ring CERT-SE på 010-382 80 00, eller
- skicka e-post till cert@cert.se
CERT-SE kan nås dygnet runt, alla dagar på året.
2. Incidentanmälan inom 72 timmar
Så snart som möjligt men senast efter 72 timmar från att myndigheten har identifierat en incident som är rapporteringspliktig ska myndigheten inkomma med en Incidentanmälan.
3. Slutrapport eller lägesrapport inom en månad
Senast en månad efter inskickad upplysning, eller en månad efter att incidenten har hanterats, ska myndigheten inkomma med en slutrapport.
Om incidenten fortfarande är pågående efter en månad ska istället en Lägesrapport lämnas.
Rapporteringspliktiga incidenter som även omfattas av cybersäkerhetslagen
Incidenter som är rapporteringspliktiga enligt beredskapsförordningen kan också vara rapporteringspliktiga enligt cybersäkerhetslagen.
Statliga myndigheter som för samma incident redan helt eller delvis har uppfyllt rapporteringsplikt enligt beredskapsförordningen ska, inom de tidsfrister som anges i cybersäkerhetslagen, komplettera tidigare inlämnade rapporter för att även uppfylla rapporteringsplikten enligt cybersäkerhetslagen.
Incidentrapportering enligt cybersäkerhetslagen
Reservförfarande – om incidentrapporteringsverktyget inte är tillgängligt
Om cyberportalen är otillgänglig eller om du inte kan logga in, behöver du använda reservförfarandet. Du väljer förfarande efter hur känsligt innehållet är.
Inte säkerhetsskyddsklassificerade uppgifter
För uppgifter som inte rör säkerhetsskydd, ladda ned och fyll i reservformuläret samt ta del av rutinen på webbplatsen för digital inlämning via säker länk. Mejla cslsupport@ncsc.se för mer information!
Om webbplatsen inte är tillgänglig, rapportera genom rekommenderat brev till adressen nedan.
Säkerhetsskyddsklassificerade uppgifter
Alla betydande incidenter är rapporteringspliktiga. Det är dock frivilligt att lämna säkerhetsskyddsklassificerade uppgifter vid ifyllandet av formuläret. Om rapporten innehåller säkerhetsskyddsklassificerade uppgifter ska rapporten skickas som ett rekommenderat brev.
Lägg rapporten i ett eget kuvert inuti försändelsekuvertet. Använd bud eller värdepost om det går fortare.
Observera att incidenter i säkerhetsskyddklassad verksamhet inte ska rapporteras enligt CSL.
Postadress:
FRA/NCSC
Box 301
161 26 Bromma
Formulär för reservförfarande
Reservförfarande – om incidentrapporteringsverktyget inte är tillgängligt
Om cyberportalen är otillgänglig eller om du inte kan logga in, behöver du använda reservförfarandet. Ladda ned aktuellt formulär för rapportering
Skydd av information
Information som inkommer i samband med incidentrapporter kan vara känsliga ur ett risk- och sårbarhetsperspektiv samt vilka åtgärder som har vidtagits till följd av incidenten. Detta gäller inte bara för de som har drabbats men även för andra som kan ha sina säkerhetsåtgärder eller system konstruerade på liknande sätt.
Det är centralt för myndigheten att den information som lämnas in och genereras i samband med rapporteringen av en it-incident ges ett kvalificerat skydd. I detta avseende är ändamålsenliga rutiner och processer samt system med hög teknisk säkerhet av stor betydelse. De rättsliga aspekterna är även de centrala för hanteringen av information vid it-incidenthantering.
Sedan 1 oktober 2022 vidarebefordrar myndigheten inrapporterade incidenter som har sin grund i brottslig handling till Polisen.
Incidenter som att döma av hur de beskrivs (i val av orsak eller i fritext) kan antas ha sin grund i en brottslig handling kommer att vidarebefordras till Polismyndigheten där en polisanmälan kan komma att upprättas.
Fördjupad brottssamverkan mellan oss och Polisen
Om incidenten inte längre bedöms vara rapporteringspliktig
I det fall att incidenten inte längre bedöms vara rapporteringspliktig ska ni meddela detta. Det kan göras oavsett hur många skeden av rapporteringen som redan skickats in, förutsatt att första skedets rapportering är inskickat. För att meddela att incidenten inte längre är rapporteringspliktig, kontakta cslsupport@mcf.se.