Incidentrapportering av betrodda tjänster

Betrodda tjänster som drabbas av säkerhetsincidenter och integritetsförluster ska rapporteras till PTS. Detta ska göras senast 24 timmar efter upptäckt.

Incidenter som ska rapporteras är incidenter som i betydande omfattning påverkar den betrodda tjänsten eller de personuppgifter som ingår i tjänsten.

Det är du som tillhandahåller en betrodd tjänst som ska analysera den inträffade incidenten eller integritetsförlusten och bedöma om den är av betydande omfattning. Till din hjälp finns Enisas bedömningsmetod som består av en femgradig skala, där incidenter med värdet 3-5 ska rapporteras till PTS. 

Om du är tveksam eller misstänker att en sårbarhet har utnyttjats, är det bättre att rapportera det som en inträffad incident än att låta bli. Om det senare visar sig att sårbarheten inte utnyttjats behöver däremot inga andra kompletteringar göras till PTS än att lämna information om att sårbarheten inte utnyttjats.

Incidentrapportering av betrodd tjänst

Skyldighet att informera användare och allmänhet

När det är troligt att incidenten kommer att ha negativ inverkan på en fysisk eller juridisk person till vilken den betrodda tjänsten har tillhandahållits, ska den fysiska eller juridiska personen underrättas.

Det åligger dig som tillhandahållare av den betrodda tjänsten att utan onödigt dröjsmål underrätta den berörda fysiska eller juridiska personen.

Om det ligger i allmänhetens intresse får PTS informera om incidenten till allmänheten eller kräva att tillhandahållaren gör det.

Skyldigheten att rapportera säkerhetsincidenter och integritetsförluster regleras i artikel 19 i eIDAS-förordningen.

Skyldighet att rapportera incident till andra myndigheter

I vissa fall måste en säkerhetsincident eller integritetsförlust i en betrodd tjänst rapporteras till integritetsskyddsmyndigheten (IMY) eller till Myndigheten för samhällsskydd och beredskap (MSB).

Om incidenten klassas som en personuppgiftsincident ska den rapporteras till integritetsskyddsmyndigheten. 

Om incidenten påverkar en tjänst som klassas som en samhällsviktig tjänst enligt NIS-direktivet ska den rapporteras till MSB.