Rapportera säkerhetsincident

Incidenter som har haft en betydande påverkan på nät och tjänster måste rapporteras till PTS. Här beskriver vad som är en säkerhetsincident och vilka incidenter som är rapporteringspliktiga.

Trots att tillhandahållare vidtar säkerhetsåtgärder kan det inträffa händelser som påverkar förmågan att upprätthålla en viss säkerhetsnivå och som kan vara säkerhetsincidenter som ska rapporteras till PTS.

Rapportera säkerhetsincident

Blankett för att rapportera säkerhetsincident till PTS. Blanketten ska skickas till e-post: incidentrapport@pts.se

Rapporteringsblanketten baseras på reglerna i lagen (2022:482) om elektronisk kommunikation samt PTS föreskrifter och allmänna råd om säkerhet i nät och tjänster (PTSFS 2022:11).

Mer information om vilka händelser som ska rapporteras som säkerhetsincident samt vilka uppgifter som ska ingå i incidentrapporten finns i nedanstående information. 

Detta är en säkerhetsincident

Det finns två typer av händelser som enligt lagen om elektronisk kommunikation definieras som säkerhetsincidenter. 

Säkerhetsincident enligt LEK

  • En händelse med direkt negativ påverkan på tillgängligheten, riktigheten, autenticiteten eller konfidentialiteten.
  • En händelse som påverkar förmågan att upprätthålla en viss säkerhetsnivå avseende tillgänglighet, autenticitet, riktighet eller konfidentialitet.

Händelser kan inträffa genom yttre påverkan, som till exempel sabotage, men kan också bero på brister eller otillåtet förfarande hos operatören som till exempel brister i organisationen, misstag eller tekniska fel i system.

För att klassas som en säkerhetsincident ska händelsen även beröra något av nedanstående objekt. 

En säkerhetsincident berör minst en säkerhetsaspekt för något av följande:

  • Elektroniskt kommunikationsnät.
  • Elektronisk kommunikationstjänst.
  • Lagrade, överförda eller behandlade uppgifter.
  • Närliggande tjänster som erbjuds genom eller är tillgängliga via dessa elektroniska kommunikationsnät eller elektroniska kommunikationstjänster.

De olika säkerhetsaspekterna tillgänglighet, autenticitet, riktighet och konfidentialitet behandlas närmare under sidan Säkerhetsbegreppet.

Säkerhetsbegreppet

Här kan du läsa mer om lagens definition av säkerhetsbegreppet.

Säkerhetsincidenter som ska rapporteras till PTS

Den som tillhandahåller ett allmänt elektroniskt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst ska utan onödigt dröjsmål rapportera säkerhetsincidenter som har haft en betydande påverkan på nät och tjänster.

Rapporteringsskyldigheten gäller oavsett hur händelsen påbörjats eller vem som är ansvarig för dess uppkomst. Avgörande är istället vilka konsekvenser incidenten har haft.

Betydande påverkan på nät och tjänster

Aktörerna ska inte underrätta PTS om alla händelser som inträffar, utan endast säkerhetsincidenter som har haft en betydande påverkan på nät och tjänster.

Omständigheter som särskilt har betydelse för bedömningen av om en säkerhetsincident har haft en betydande påverkan är till exempel:

  • Antal användare som påverkas av incidenten.
  • Hur länge säkerhetsincidenten varar.
  • Storleken på det drabbade geografiska området.
  • I vilken utsträckning nätet eller tjänsten påverkas.
  • I vilken utsträckning ekonomisk och samhällelig verksamhet påverkas.

Observera att dessa faktorer endast utgör exempel på omständigheter som kan vara aktuella att beakta vid bedömningen av betydande påverkan.

Säkerhetsincidenter hos leverantörer och följdincidenter

Rapporteringsskyldigheten gäller även för säkerhetsincidenter hos till exempel tredjeparts-leverantörer till den rapporteringsskyldige och för följdincidenter på grund av en sådan incident. Detta påverkar inte den rapporteringsskyldighet som leverantören självständigt kan ha med anledning av sin verksamhet.

En händelse kan behöva rapporteras enligt flera regelverk

En incident kan även behöva rapporteras enligt andra regelverk, såsom personuppgifts- eller säkerhetsskyddslagstiftningen.

Incidenter med påverkan på uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster ska även fortsättningsvis rapporteras som integritetsincidenter enligt bestämmelserna med ursprung i e-dataskyddsdirektivet.

Rapportering av integritetsincident

Här finns mer information om när och hur en integritetsincident ska rapporteras enligt e-dataskyddsdirektivet.

När och hur rapportering ska ske

När och hur rapportering ska ske och vad rapporterna ska innehålla framgår av lagen om elektronisk kommunikation (LEK) och PTS föreskrifter om säkerhet i nät och tjänster (PTSFS 2022:11) som gäller från den 1 augusti 2022. 

Tillhandahållare ska rapportera säkerhetsincidenter som har haft en betydande påverkan på nät och tjänster utan onödigt dröjsmål.

Utan onödigt dröjsmål

Att rapportering ska göras utan onödigt dröjsmål betyder att den som regel ska ske så snart de första kritiska åtgärderna för att avhjälpa säkerhetsincidenten har vidtagits och de uppgifter som ska lämnas finns tillgängliga.

Om det behövs internt utredningsarbete för att kunna sammanställa samtliga uppgifter som ska lämnas till tillsynsmyndigheten sker rapporteringen i två steg, dels i direkt anslutning till säkerhetsincidenten om det som då är känt, dels vid ett senare tillfälle när samtliga uppgifter har sammanställts.

Rapportens innehåll

Rapporten bör innehålla de uppgifter som typiskt sett har betydelse för PTS bedömning av om kraven på säkerhetsåtgärder är uppfyllda eller om det finns anledning att vidta tillsynsåtgärder till följd av händelsen.

En underrättelse bör därför normalt innehålla uppgifter om till exempel när säkerhetsincidenten har inträffat, hur den upptäcktes, vad som har skett, omfattningen och konsekvenserna av incidenten samt vilka åtgärder som vidtagits för att minska konsekvenserna av incidenten och för att förhindra liknande incidenter i framtiden.

PTS rapporteringsblankett

Rapportera säkerhetsincident

Blankett för att rapportera säkerhetsincident till PTS. Blanketten ska skickas till e-post: incidentrapport@pts.se

Av blanketten framgår vilka uppgifter som bör lämnas i en incidentrapport. Blanketten baseras på reglerna i lagen (2022:482) om elektronisk kommunikation samt PTS föreskrifter och allmänna råd om säkerhet i nät och tjänster, PTSFS 2022:11, som börjar gälla den 1 augusti 2022.

PTS ger operatörerna tillgång till rapporteringsblanketten redan nu eftersom den möjliggör rapportering av säkerhetsincidenter i enlighet med de nya reglerna i LEK. Observera att rapporteringsblanketten är ett utkast och eventuellt kan komma att justeras. Blanketten får sin slutliga form först efter att PTS nya föreskrifter om säkerhet i nät och tjänster har trätt i kraft.

Skicka incidentrapport till PTS

Incidentrapporten ska skickas till PTS via e-postadress incidentrapport@pts.se.

Informera allmänheten om säkerhetsincidenter

Om det ligger i allmänhetens intresse får PTS ålägga den som tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster att informera allmänheten om säkerhetsincidenter. 

Vid bedömningen av om och hur allmänheten ska informeras, ska Sveriges säkerhet beaktas och säkerhetsskyddslagstiftningen ska följas.