Stockholms universitet har av Myndigheten för samhällsskydd och beredskap (MSB) ombetts att inkomma med synpunkter på MSBs förslag till föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter, samt på den medföljande konsekvensutredningen. Universitetet har följande att anföra.

Stockholms universitet tillstyrker förslaget till nya föreskrifter. Universitetet hade emellertid önskat något större tydlighet i några delar. I föreskrifternas 3 § hänvisas till en icke bifogad förordnings 20 § avseende vilka it-incidenter som ska rapporteras. Utifrån konsekvensutredningen kan läsaren få intrycket att rapportkravet omfattar många fler typer av incidenter än vad som är intentionen enligt betänkandet Informations- och cybersäkerhet i Sverige (SOU 2015:23). Det hade därför varit klargörande att få ta del av den omnämnda förordningstexten. Det hade också varit önskvärt om föreskrifterna tagit upp hur enskilda myndigheters expedierade rapporter hanteras i sekretesshänseende.

Vidare konstaterar Stockholms universitet att föreskrifternas 7 § ålägger rapporterande myndigheter komplicerade och omfattande uppgifter som kräver speciell kompetens. Behovet av kompetent operationalisering och klassificering av komplexa komponenter stipulerar någon form av stödfunktion, alternativt en rutin för interaktiv kommunikation mellan MSB och rapporterande myndigheter. I de allmänna råden talas om "dialog", men Stockholms universitet skulle önska att ansvarsfördelningen mellan MSB och de rapporterande myndigheterna avseende dessa frågor klargjordes.

Detta beslut är fattat av rektor, professor Astrid Söderbergh Widding, i närvaro av prorektor, professor Hans Adolfsson och förvaltningschefen, universitetsdirektör Joakim Malmström. Studeranderepresentanter har informerats och haft tillfälle att yttra sig. Övrig närvarande har varit Anna Riddarström, Avdelningen för planering och ledningsstöd (protokollförare).