Den 4 april 2016 trädde Förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap i kraft . Detta innebär att IT-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten levererar till en annan organisation ska rapporteras till Myndigheten för samhällsskydd och beredskap (MSB).

Syftet med obligatorisk IT-incidentrapportering är enligt regeringen, att stödja samhällets informationssäkerhet; det möjliggör en förbättrad lägesbild över informationssäkerheten, skapar förutsättningar för att vidta rätt skyddsåtgärder och utvecklar förmågan att förebygga, upptäcka och hantera IT-incidenter. Genom att skyndsamt rapportera till MSB, för att därigenom få en samlad och övergripande bild, finns också möjlighet att samordnat vidta åtgärder för att avvärja eller begränsa konsekvenserna av allvarliga IT-incidenter.

Vad är en IT-incident?

En ”IT-incident” bör förstås som en oönskad och oplanerad IT-relaterad händelse som kan påverka säkerheten i organisationens eller samhällets informationshantering och som kan innebära en störning i organisationens förmåga att bedriva sin verksamhet.

En  sådan incident kan alltså vara en händelse som t.ex. påverkar eller stör data, telekommunikation, drift, hård- eller mjukvara eller informationsläckage. Det kan finnas många orsaker till att en IT-incident uppstår, men exempel på det är bristande kompetens, mänskliga misstag, tekniska sammanbrott, naturhändelser eller angrepp. Alla IT-incidenter ska inte rapporteras utan det är endast de som allvarligt kan påverka säkerheten. Det bör påpekas att IT-incidenten inte behöver ha medfört att säkerheten i det enskilda fallet allvarligt påverkats – bara att den kan ha påverkats. Det kan exempelvis vara så att det vid rapporteringstillfället inte är helt klarlagt om säkerheten de facto påverkats men att det finns en risk för att så skett.

Det är svårt att ge en exakt definition av begreppet allvarlig. För att ge ledning för hur det ska tillämpas i praktiken kommer MSB kontinuerligt att arbeta med att ta fram olika typexempel på rapporteringspliktiga IT-incidenter. Det kan även bli aktuellt med annat stöd för bedömningen. Varje myndighet behöver sedan göra en självständig bedömning av vilka IT-incidenter som allvarligt kan påverka säkerheten i organisationens informationssystem. Vid bedömningen bör t.ex. osäkerhet kring hur stor spridning informationen fått beaktas.

Vad behöver du göra?

Här på universitetet är det informationssäkerhetsfunktionen som är länken till/från MSB och den som rapporterar de IT-incidenter som bedöms vara rapporeringspliktiga. Informationssäkerhetsfunktionens uppgift är även att vara ett stöd vid bedömning av IT-incidenter och du når funktionen enklast genom att skicka e-post till infosakfunktionen@su.se