Incidentrapportering av betrodda tjänster

Tillhandahållare av betrodda tjänster ska anmäla incidenter av betydande omfattning till PTS. Här hittar du mer information om vilka incidenter som omfattas av rapporteringsskyldigheten och hur incidentrapporteringen går till.

Tillhandahållare ska, senast 24 timmar efter upptäckt, rapportera incidenter som i betydande omfattning påverkar den betrodda tjänsten som tillhandahålls, eller de personuppgifter som ingår i denna. Incidenter som ska rapporteras till PTS är säkerhetsincidenter och integritetsförluster.

När det är troligt att incidenten kommer att ha negativ inverkan på en fysisk eller juridisk person till vilken den betrodda tjänsten har tillhandahållits, ska även den fysiska eller juridiska personen underrättas. Det är tillhandahållaren av den betrodda tjänsten som utan onödigt dröjsmål ska underrätta den berörda fysiska eller juridiska personen.

Om det ligger i allmänhetens intresse får PTS informera om incidenten till allmänheten eller kräva att tillhandahållaren gör det.

Skyldigheten att rapportera säkerhetsincidenter och integritetsförluster regleras i artikel 19 i Europaparlamentets och Rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska tjänster på den inre marknaden (”eIDAS-förordningen”).

I vissa fall är tillhandahållaren skyldig att rapportera incidenter till Integritetsskyddsmyndigheten (IMY) eller till Myndigheten för samhällsskydd och beredskap (MSB). Mer information om rapportering till IMY och MSB hittar du på respektive myndighets webbplats. 

Läs mer om personuppgiftsincidenter på Integritetsskyddsmyndighetens webbplats. 

Läs mer om incidentrapportering för samhällsviktiga tjänster på MSB:s webbplats.

arrow Syftet med incidentrapportering av betrodda tjänster

Incidentrapportering är ett steg i EU:s övergripande syfte att öka förtroendet för elektroniska transaktioner på den inre marknaden. Genom incidentrapportering säkerställs att tillhandahållare av betrodda tjänster hanterar en incident korrekt, bland annat genom att säkerställa att påverkade aktörer blir informerade om händelsen. Vidare är syftet att tillhandahållare vidtar lämpliga åtgärder för att förhindra eller minimera incidentens påverkan och för att förhindra att motsvarande incidenter sker igen.

Incidentrapporteringen bidrar även till European Union Agency for Cybersecuritys (”ENISA”) statistik över säkerhetsincidenter, som i sin tur bidrar till en överblick av säkerheten av betrodda tjänster inom EU. Läs mer om Enisa och deras arbete på Enisas webbplats.

En korrekt överblick av säkerhetsläget möjliggör ett effektivt arbete för att öka förtroendet för elektroniska transaktioner inom EU. I dagsläget sker en stor del av såväl ekonomiska transaktioner som kommunikationen mellan människor på elektronisk väg. För att upprätthålla ett väl fungerande samhälle i stort är det därmed av stor vikt att förtroendet för elektroniska transaktioner upprätthålls.

arrow Incidenter som ska rapporteras

Incidenter som i betydande omfattning påverkar den betrodda tjänsten eller de personuppgifter som ingår i denna, ska rapporteras till PTS. Tillhandahållaren behöver analysera den inträffade incidenten eller integritetsförlusten för att bedöma om den är av betydande omfattning.

Vid tveksamheter, till exempel om tillhandahållaren misstänker att en sårbarhet har utnyttjas, är det bättre att rapportera det som en inträffad incident än att låta bli. Om det senare visar sig att sårbarheten inte utnyttjats behöver däremot inga andra kompletteringar göras till PTS än att lämna information om att sårbarheten inte utnyttjats.

För att bedöma incidentens grad av påverkan kan du använda dig av Enisas bedömningsmetod. Läs mer om bedömningmetoden under rubriken "Metod för att bedöma incidentens grad av påverkan".

PTS kan komma att göra en självständig bedömning av om incidenten är rapporteringspliktig.

arrow Metod för att bedöma incidentens grad av påverkan

Som vägledning till vilka incidenter som ska rapporteras har Enisa tagit fram en metod för att bedöma incidentens grad av påverkan. Metoden är indelad i fem nivåer.

Nivå Påverkan Påverkan på tjänst/användare
1 Ingen påverkan Ingen påverkan
2 Obetydlig påverkan Tillhandahållarens tjänst påverkas, men inte i den huvudsakliga tjänsten.
3 Påverkan i betydande omfattning Del av huvudsaklig tjänst påverkas eller vissa användare påverkas.  
4 Påverkan i avsevärd omfattning

Stora delar av huvudsaklig tjänst/användare påverkas.

5 Katastrofal påverkan Hela organisationen, alla tjänster, alla certifikat påverkas.

 

Säkerhetsincidenter som bedöms vara i nivå tre-fem ska rapporteras till PTS. Vid bedömning av om del av den huvudsakliga tjänsten har påverkats i betydande omfattning, enligt nivå tre, är det viktigt att inkludera alla tjänster som har påverkan på den betrodda tjänsten och inte endast se till den betrodda tjänstens tekniska funktion. Det innebär att en incident som påverkar den betrodda tjänsten i betydande omfattning ska rapporteras till PTS även om felet ligger i en annan tjänst.

Exempel på incidenter som är nivå tre 

Här är exempel på nivå-tre-incidenter enligt Enisa. 

  • Attack på tillhandahållarens system med påverkan på tillhandahållarens betrodda tjänst/er.
  • Ingen tillgång till tillhandahållarens betrodda tjänst/er.
  • Ingen tillgång till den tjänst slutanvändaren vill nå, på grund av problem i tillhandahållarens betrodda tjänst/er.
  • Användarnamn och lösenord i tillhandahållarens system avslöjas.
  • Incident som påverkar tillhandahållarens funktioner för att tillhandahålla den betrodda tjänsten, som till exempel certifikatutfärdande, registrering, valideringsbevarande.

På Enisas:s webbplats kan du ta del av hela listan med exempel på incidenter.

arrow Aktörer som omfattas av kravet att incidentrapportera

Alla tillhandahållare av en betrodd tjänst ska rapportera in säkerhetsincidenter till PTS om den betrodda tjänsten, eller de personuppgifter som ingår i denna, har påverkats i betydande omfattning.

När ska flera aktörer incidentrapportera samma händelse?

Alla händelser som haft en påverkan av betydande omfattning i en tillhandahållares betrodda tjänst ska incidentrapporteras, även om incidenten inte uppstått i eller har orsakats av tillhandahållarens egen betrodda tjänst.

Även förlitande parter till en tillhandahållare av betrodd tjänst ska, om de själva också tillhandahåller en egen betrodd tjänst till slutanvändare,  incidentrapportera störningar i den egna betrodda tjänsten.

arrow Det här ska incidentrapporten till PTS innehålla

När du ska rapportera en incident till PTS ska incidentrapporten innehålla följande information: 

  • Tillhandahållarens kontaktuppgifter och kontaktperson.
  • Tillhandahållarens referensnummer för ärendet.
  • När incidenten inträffade och avslutades.
  • När incidenten upptäcktes.
  • Betrodd tjänst som berördes av incidenten.
  • Beskrivning av incidenten, vad som har hänt.
  • Grundorsak till incidenten och eventuella underliggande orsaker.
  • Vilka tillgångar påverkades av incidenten?
  • Beskrivning av personuppgifter som omfattas av integritetsförlust.
  • Vilka konsekvenser incidenten medförde för tillhandahållaren, användare respektive förlitande parter
  • Åtgärder som vidtagits för att hantera incidenten.
  • Åtgärder för att undvika att motsvarande incident inträffar igen.
  • Lärdomar och förbättringar efter avklarad incident.
  • Hur informationen har lämnats till allmänheten, förlitande parter eller kunder.
  • Annan myndighet som har notifierats om incidenten.

Du kan använda PTS ifyllningsbara mall för incidentrapportering.