Simovits

Statliga myndigheter ska rapportera allvarliga IT-incidenter från april 2016

I tidigare blogginlägg har regeringens initiativ inom informations- och cybersäkerhetsområdet belysts. Regeringen har nu tagit beslutet att från den 1 april 2016 införa regler för att förbättra samhällets informationssäkerhet och krisberedskap1. Reglerna styr obligatorisk rapportering för statliga myndigheter, till exempel avseende störningar i driftmiljöer till följd av hackerattacker.

Bakgrund

I takt med ökad användning av IT i samhället ökar även sårbarheter. Idag sker ingen systematisk identifiering eller hantering av allvarliga IT- incidenter som har påverkat enskilda användare eller samhällsviktig verksamhet. Det bedöms finnas ett stort mörkertal då många incidenter inte upptäcks2. Följdeffekterna då organisationer drabbas riskerar att bli stora eftersom aktörer inte informeras så att de kan hinna agera i tid. Informationsbristen och denna saknade helhetsbild av samhällsläget försvårar beslutsfattande då beroenden och totala effekter ska bedömas. I ljuset av detta bedöms det därför nödvändigt att införa regler för obligatorisk inrapportering av incidenter som allvarlig påverkar myndigheters verksamhet.

Reglerna införs genom förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap (2015:xxx). Förordningen blir offentlig när den kungjorts i svensk författningssamling.

Mervärdet med ett system för IT-incidentrapportering

Vilka fördelar förväntas då en enhetlig rapportering av incidenter ge?

Regler för rapporteringen

För att uppnå önskat resultat med systemet krävs en struktur för rapporteringen: När den ska ske, vad som ska omfattas i rapporteringen, och vilka krav som ska ställas på förfarandet. Myndigheten för samhällsskydd och beredskap (MSB) har givits uppdrag av regeringen att ta fram föreskrifter för detta, vilka nu remitteras3. Föreskrifterna beskriver bl.a.:

Föreskrifterna är nationella, och omfattar endast statliga myndigheter. När det s.k. NIS-direktivet ska genomföras i svensk rätt kommer rapporteringskrav även gälla vissa andra aktörer t.ex. privata företag.

Värt att notera är att det är regeringens förordning (2015:xxx) som styr vad som är rapporteringspliktiga incidenter.

Vilka instanser ska rapporteringen ske till

Inrapportering ska ske till MSB, med undantag för vissa uppgifter. Det som exempelvis rör rikets säkerhet eller för system som behöver skyddas mot terrorism rapporteras till Säkerhetspolisen eller Försvarsmakten.

Vilka konsekvenser får detta för myndigheter

MSB gör bedömningen att påverkan blir störst för de myndigheter som idag inte bedriver systematiskt informationssäkerhetsarbete. Processer och rutiner kan behöva anpassas, exempelvis då verksamhet utkontrakterats. Dock förväntas inte kostnader bli alltför höga, då exempelvis enbart rapportering av allvarliga incidenter omfattas, och mängden rapporteringsinformation är anpassad efter skyndsamhetskravet på 24 timmar. Detta gäller under förutsättning att organisationen redan idag arbetar systematiskt med informationssäkerhet.

Referenser

[1] http://www.regeringen.se/pressmeddelanden/2015/12/regeringen-infor-krav-pa-it-incidentrapportering-for-statliga-myndigheter/

[2] https://www.msb.se/Upload/Om%20MSB/Lag_och_ratt/Konsekvensutredningar/Konsekvensutredning%202015-5108.pdf

[3] https://www.msb.se/Upload/Om%20MSB/Lag_och_ratt/Remisser/Remiss%20f%C3%B6reskrifter%20%20allm%C3%A4nna%20r%C3%A5d%20it-incidentrapportering%202015-5108%20%282%29.pdf