Statliga myndigheter ska rapportera allvarliga IT-incidenter från april 2016
I tidigare blogginlägg har regeringens initiativ inom informations- och cybersäkerhetsområdet belysts. Regeringen har nu tagit beslutet att från den 1 april 2016 införa regler för att förbättra samhällets informationssäkerhet och krisberedskap1. Reglerna styr obligatorisk rapportering för statliga myndigheter, till exempel avseende störningar i driftmiljöer till följd av hackerattacker.
Bakgrund
I takt med ökad användning av IT i samhället ökar även sårbarheter. Idag sker ingen systematisk identifiering eller hantering av allvarliga IT- incidenter som har påverkat enskilda användare eller samhällsviktig verksamhet. Det bedöms finnas ett stort mörkertal då många incidenter inte upptäcks2. Följdeffekterna då organisationer drabbas riskerar att bli stora eftersom aktörer inte informeras så att de kan hinna agera i tid. Informationsbristen och denna saknade helhetsbild av samhällsläget försvårar beslutsfattande då beroenden och totala effekter ska bedömas. I ljuset av detta bedöms det därför nödvändigt att införa regler för obligatorisk inrapportering av incidenter som allvarlig påverkar myndigheters verksamhet.
Reglerna införs genom förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap (2015:xxx). Förordningen blir offentlig när den kungjorts i svensk författningssamling.
Mervärdet med ett system för IT-incidentrapportering
Vilka fördelar förväntas då en enhetlig rapportering av incidenter ge?
- Förbättring av samhällets informationssäkerhet och krisberedskap
- Förtydligande av statens ansvar för informationssäkerhet
- Möjlighet att agera förebyggande: varna aktörer och reducera konsekvenserna av inträffade incidenter
- Statistiskt underlag för analys och samlad lägesbild över IT-incidenter i samhället
- Återkoppling och stöd till aktörer
- Möjlighet till riktade förebyggande insatser, lärdomar av incidenter, samt minskning av mörkertalet
- Minskad risk för att kopplingar mellan IT-incidenter förbises på grund av bristande information
Regler för rapporteringen
För att uppnå önskat resultat med systemet krävs en struktur för rapporteringen: När den ska ske, vad som ska omfattas i rapporteringen, och vilka krav som ska ställas på förfarandet. Myndigheten för samhällsskydd och beredskap (MSB) har givits uppdrag av regeringen att ta fram föreskrifter för detta, vilka nu remitteras3. Föreskrifterna beskriver bl.a.:
- Definitioner av IT-incidenter: störningar i mjuk och hårdvara, driftmiljöer, dataförlust eller dataläckage
- Kategorisering av möjliga orsaker: brister i produkter, externa attacker, mänskligt fel vid användning, intern eller extern händelse (t.ex. säkerhetskopiering eller strömavbrott)
- Inrapportering inom 24h efter upptäckt
- Rapportinnehåll (t.ex. beskrivning, kategorisering, skadebedömning och omfattning)
- Kompletteringskrav om uppgifter som behövs för att klarlägga hur IT-incidenten kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation
- Myndighetsansvar för rapportering även om utkontraktering sker
Föreskrifterna är nationella, och omfattar endast statliga myndigheter. När det s.k. NIS-direktivet ska genomföras i svensk rätt kommer rapporteringskrav även gälla vissa andra aktörer t.ex. privata företag.
Värt att notera är att det är regeringens förordning (2015:xxx) som styr vad som är rapporteringspliktiga incidenter.
Vilka instanser ska rapporteringen ske till
Inrapportering ska ske till MSB, med undantag för vissa uppgifter. Det som exempelvis rör rikets säkerhet eller för system som behöver skyddas mot terrorism rapporteras till Säkerhetspolisen eller Försvarsmakten.
Vilka konsekvenser får detta för myndigheter
MSB gör bedömningen att påverkan blir störst för de myndigheter som idag inte bedriver systematiskt informationssäkerhetsarbete. Processer och rutiner kan behöva anpassas, exempelvis då verksamhet utkontrakterats. Dock förväntas inte kostnader bli alltför höga, då exempelvis enbart rapportering av allvarliga incidenter omfattas, och mängden rapporteringsinformation är anpassad efter skyndsamhetskravet på 24 timmar. Detta gäller under förutsättning att organisationen redan idag arbetar systematiskt med informationssäkerhet.