En betrodd tjänst är en elektronisk tjänst som skapar, kontrollerar, validerar och bevararar elektroniska underskrifter. Incidenter i dessa tjänster måste rapporteras till oss på PTS men du behöver också informera användare och andra berörda.
Det är incidenter av betydande omfattning som ska rapporteras till oss och du använder en särskild metod, som Enisa, EU:s nätverks- och informationssäkerhetsbyrå, har tagit fram.
Därför ska du rapportera incidenter
Det är viktigt att rapportera incidenter i betrodda tjänster till oss på PTS. Det hjälper alla företag som erbjuder dessa tjänster att hantera incidenter på ett korrekt sätt.
Viktigt med information till berörda
Förutom att rapportera till oss måste du se till att användare och övriga påverkade aktörer blir informerade om händelsen.
Du måste också vidta åtgärder för att minimera incidentens påverkan och för att förhindra att liknande incidenter inträffar igen.
Incidentrapporteringen är också viktig eftersom den bidrar till Enisas överblick av säkerheten av betrodda tjänster inom hela EU. Enisa är EU:s nätverks- och informationssäkerhetsbyrå.
Om det behövs kan vi på PTS informera om incidenten till allmänheten eller kräva att du som leverantör gör det.
Så vet du om en incident ska rapporteras
Det är incidenter av betydande omfattning som ska rapporteras till oss. För att bedöma hur allvarlig incidenten är kan du använda en särskild metod för bedömning som Enisa, EU:s nätverks- och informationssäkerhetsbyrå, har tagit fram.
Metoden är indelad i fem nivåer. Om du bedömer att incidenter är i nivå tre till fem så ska du rapportera den till oss på PTS.
Vi kan också göra en självständig bedömning av om incidenten måste rapporteras.
Nivå |
Påverkan |
Påverkan på tjänst/användare |
|
1 |
Ingen påverkan |
Ingen påverkan |
|
2 |
Obetydlig påverkan |
Tillhandahållarens tjänst påverkas, men inte i den huvudsakliga tjänsten. |
|
3 |
Påverkan i betydande omfattning |
Del av huvudsaklig tjänst påverkas eller vissa användare påverkas. |
|
4 |
Påverkan i avsevärd omfattning |
Stora delar av huvudsaklig tjänst/användare påverkas. |
|
5 |
Katastrofal påverkan |
Hela organisationen, alla tjänster, alla certifikat påverkas. |
Källa: Enisa, EU:s nätverks- och informationssäkerhetsbyrå.
När du gör bedömningen behöver du tänka på alla tjänster som har påverkan på den betrodda tjänsten och inte endast se till den betrodda tjänstens tekniska funktion.
Det här innebär att du måste rapportera en incident som påverkar den betrodda tjänsten, i betydande omfattning, till oss även om felet ligger i en annan tjänst.
Det är alltid bättre att rapportera än att låta bli, även om du är tveksam. Om det sen visar sig att sårbarheten inte utnyttjats behöver du däremot inte göra några kompletteringar. Du behöver dock lämna information om att sårbarheten inte utnyttjats.
Så rapporterar du en incident
Använd denna mall för att rapportera incidenter i betrodda tjänster. Skicka rapporten till incidentrapport@pts.se.
Blankett rapportera incident av betrodda tjänster
Skyldighet att rapportera incident till andra myndigheter
I vissa fall måste du rapportera en säkerhetsincident eller integritetsförlust i en betrodd tjänst till integritetsskyddsmyndigheten (IMY) eller till Myndigheten för samhällsskydd och beredskap (MSB).
Om incidenten klassas som en personuppgiftsincident ska du rapportera den till integritetsskyddsmyndigheten.
Integritetsskyddsmyndigheten (IMY)
Om incidenten påverkar en tjänst som klassas som en samhällsviktig tjänst enligt NIS-direktivet ska du rapportera den till MSB.
Myndigheten för samhällsskydd och beredskap (MSB)