Den här webbplatsen använder cookies för att ge dig en så bra upplevelse som möjligt. Genom att klicka på "Jag förstår" samtycker du till att cookies används. Jag förstår, stäng

Föreskrifter för rapport av IT-incidenter klara

Från 1 april är det obligatoriskt för statliga myndigheter att rapportera IT-incidenter, tre dagar senare träder MSBs föreskrifter i kraft.

Publicerad: 2016-03-02

MSB utvecklar också ett rapporteringsverktyg som ska underlätta för myndigheterna.
Kravet att rapportera IT-incidenter ska ge en helhetsbild som inte funnits tidigare, exempelvis om flera drabbats samtidigt.

Richard Oehme– Det förbättrar möjligheterna att stödja aktörer, att avvärja och begränsa skador och inte minst att lära och återföra erfarenheter och jobba mer förebyggande, säger Richard Oehme, verksamhetschef för cybersäkerhet och skydd av samhällsviktig verksamhet på MSB.

Regeringen tog 17 december beslut om obligatorisk IT-incidentrapportering, ett behov som MSB och andra framfört en längre tid.
Tidigare rekommendationer från 2009, i form av MSBs allmänna råd, att statliga myndigheter ska ha rutiner för att identifiera, rapportera, bedöma, hantera och dokumentera IT-incidenter har skärpts och ställs från 4 april som krav i de nya föreskrifterna om statliga myndigheters informationssäkerhet.

Har myndigheterna dessa rutiner i dag?
– Det ser olika ut. När vi tittade på det för två år sedan såg vi en del brister. En del har bra rutiner, andra har inga alls. Det är skillnad på stor och liten myndighet. Överlag finns förbättringspotential.

Kravet på rapportering förväntas resultera i bättre rutiner. Inom 24 timmar ska den myndighet som drabbats av allvarligare incidenter rapportera till MSB.

Vilka resurser kommer att krävas av MSB för att hantera inrapporterade incidenter?
– Det är det ingen som vet just nu och det är därför lite spännande. Vi förbereder oss med en mängd olika alternativ.

En av förberedelserna är ett användarvänligt rapporteringsverktyg som myndigheterna når via cert.se. Verktyget ska vara klart att använda i slutet av året.
– En referensgrupp av myndigheter ska testa verktyget innan det tas i bruk. Hur rapporteringen ska ske fram till dess kommer vi att informera om.

Cert.se kommer även ha en särskild informationssida om rapportering av IT-incidenter. I de föreskrifter som gäller från 4 april framgår vilken typ av incidenter som ska rapporteras, när det ska ske och vad rapporterna ska innehålla.

Under remisstiden har 70 myndigheter lämnat synpunkter på vad föreskrifterna bör innehålla. Med föreskrifterna följer också allmänna råd.

Rapporteringskravet gäller samtliga statliga myndigheter, utom vissa som exempelvis Försvarsmakten och Säkerhetspolisen som är undantagna då de har ett tillsynsansvar enligt säkerhetsskyddslagen och i och med det ska kunna hantera IT-incidenter som träffar inom ramen för egna verksamheten.

Behöver det ställas krav på fler än statliga myndigheter att rapportera IT-incidenter?
– Det är inte omöjligt att det kan bli så. EUs direktiv om säkerhet för nätverk och informationssystem lyfter fram flera sektorer som hälso- och sjukvård, energi, transport och finans, vilket innebär att kravet kan komma att ställas på privata aktörer.
– Samtidigt är det av största vikt att utforma systemet för IT-incidentrapportering på ett sådant sätt att det även blir givande att rapportera på frivillig väg. Vår målsättning är att rapportering och återkoppling ska ge ett mervärde för aktörerna och samhället, det ska inte upplevas som en belastning.

Per Larsson
blog comments powered by Disqus
Om tidningen

Tjugofyra7 bevakar utvecklingen inom MSBs ansvarsområden och ska stimulera till debatt i dessa frågor. Enbart Ledaren är att betrakta som MSBs officiella linje.

Kontakt
Redaktionen