Ni som är tillhandahållare av en betrodd tjänst ska rapportera säkerhetsincidenter och störningar enligt eIDAS-förordningen och NIS2-direktivet.
- Läs mer om vad som gäller för betrodda tjänster innan NIS2-direktivet genomförts i svensk lag här.
Enligt eIDAS-förordningen ska tillhandahållare av betrodda tjänster rapportera alla säkerhetsincidenter eller störningar som sker vid tillhandahållandet av tjänsten och som har en betydande inverkan på den betrodda tjänsten eller de personuppgifter som lagras i tjänsten.
Tillhandahållare ska även rapportera säkerhetsincidenter eller störningar som sker vid genomförandet av de åtgärder som listas nedan och som har en betydande inverkan på den betrodda tjänsten eller de personuppgifter som lagras i tjänsten.
- registrerings- och anslutningsförfaranden för en tjänst
- förfarandemässiga eller administrativa kontroller som krävs för att tillhandahålla betrodda tjänster
- förvaltning och genomförande av betrodda tjänster
Den reviderade eIDAS-förordningen trädde i kraft 20 maj 2024.
Syftet med incidentrapportering av betrodda tjänster
Incidentrapportering är ett steg i EU:s övergripande syfte att öka förtroendet för elektroniska transaktioner på den inre marknaden.
Genom incidentrapportering säkerställs att alla företag som tillhandahåller betrodda tjänster hanterar en incident korrekt. En korrekt hantering innebär bland annat att användare och övriga påverkade aktörer blir informerade om händelsen.
Incidentrapporteringen ställer även krav på tillhandahållare att vidta lämpliga åtgärder för att förhindra eller minimera incidentens påverkan och för att förhindra att liknande incidenter inträffar igen.
Skyldighet att informera berörda personer och allmänhet
Tillhandahållare av betrodda tjänster ska anmäla alla säkerhetsincidenter eller störningar som har en betydande inverkan till de identifierbara berörda personerna och, om det är av allmänt intresse, till allmänheten utan onödigt dröjsmål och under alla omständigheter inom 24 timmar från säkerhetsincidenten eller störningen.
Om PTS slår fast att ett avslöjande av säkerhetsincidenten eller integritetsförlusten skulle ligga i allmänhetens intresse kan vi på PTS kräva att ni som tillhandahållare gör detta.
Bedöma och rapportera incident som har en betydande inverkan
Det är incidenter som har en betydande inverkan på den betrodda tjänsten, genomförandet av åtgärder, eller de personuppgifter som lagras i tjänsten som ska rapporteras till oss. För att bedöma hur allvarlig incidenten är kan ni använda en särskild metod för bedömning som Enisa, EU:s nätverks- och informationssäkerhetsbyrå, har tagit fram.
Metoden är indelad i fem nivåer. Om ni bedömer att incidenter är i nivå tre till fem så ska ni rapportera den till oss på PTS.
Vi kan också göra en självständig bedömning av om incidenten måste rapporteras.
| Nivå | Inverkan | Inverkan på tjänst och användare |
|---|---|---|
| 1 | Ingen inverkan | Ingen inverkan |
| 2 | Obetydlig inverkan | Inverkan i tillhandahållarens tjänst, men inte i den huvudsakliga tjänsten |
| 3 | Incident som har en betydande inverkan | Incidenten har inverkan på del av huvudsaklig tjänst eller vissa användare |
| 4 | Incident som har en avsevärd inverkan | Incidenten har inverkan på stora delar av huvudsaklig tjänst eller användare. |
| 5 | Incident som har en katastrofal inverkan | Incidenten har inverkan på hela organisationen, alla tjänster och alla certifikat |
Det är alltid bättre att rapportera än att låta bli, även om ni är tveksamma.
Så rapporterar ni en incident
Använd denna mall för att rapportera incidenter i betrodda tjänster. Skicka rapporten till incidentrapport@pts.se.
Blankett rapportera incident av betrodda tjänster
Skyldighet att rapportera incident till andra myndigheter
I vissa fall måste ni rapportera en säkerhetsincident eller integritetsförlust i en betrodd tjänst till Integritetsskyddsmyndigheten (IMY) och/eller till den behöriga NIS2-myndigheten.
Om incidenten klassas som en personuppgiftsincident ska ni rapportera den till Integritetsskyddsmyndigheten.
Integritetsskyddsmyndigheten (IMY)
Om incidenten når upp till de incidenttrösklar som ställs på tillhandahållare av betrodda tjänster enligt NIS2-direktivet ska incidenten rapporteras till den/de behöriga NIS2-myndigheterna.