Rapportera säkerhetsincident
Incidenter som har haft en betydande påverkan på nät och tjänster måste rapporteras till PTS. En inledande rapport måste lämnas till PTS inom tre dagar från det att säkerhetsincidenten upptäcktes. Här beskrivs vad som är en säkerhetsincident och vilka incidenter som är rapporteringspliktiga.
Trots att tillhandahållare vidtar säkerhetsåtgärder kan det inträffa händelser som påverkar förmågan att upprätthålla en viss säkerhetsnivå och som kan vara säkerhetsincidenter som ska rapporteras till PTS.
Rapportera säkerhetsincident
Blankett för att rapportera säkerhetsincident till PTS. Blanketten ska skickas till e-post: incidentrapport@pts.se
Rapporteringsblanketten baseras på reglerna i lagen (2022:482) om elektronisk kommunikation samt PTS föreskrifter och allmänna råd om säkerhet i nät och tjänster (PTSFS 2022:11).
Mer information om vilka händelser som ska rapporteras som säkerhetsincident samt vilka uppgifter som ska ingå i incidentrapporten finns i nedanstående information.
Detta är en säkerhetsincident
Det finns två typer av händelser som enligt lagen om elektronisk kommunikation definieras som säkerhetsincidenter.
Säkerhetsincident enligt LEK
- En händelse med direkt negativ påverkan på tillgängligheten, riktigheten, autenticiteten eller konfidentialiteten.
- En händelse som påverkar förmågan att upprätthålla en viss säkerhetsnivå avseende tillgänglighet, autenticitet, riktighet eller konfidentialitet.
Händelser kan inträffa genom yttre påverkan, som till exempel sabotage, men kan också bero på brister eller otillåtet förfarande hos operatören som till exempel brister i organisationen, misstag eller tekniska fel i system.
För att klassas som en säkerhetsincident ska händelsen även beröra något av nedanstående objekt.
En säkerhetsincident berör minst en säkerhetsaspekt för något av följande:
- Elektroniskt kommunikationsnät.
- Elektronisk kommunikationstjänst.
- Lagrade, överförda eller behandlade uppgifter.
- Närliggande tjänster som erbjuds genom eller är tillgängliga via dessa elektroniska kommunikationsnät eller elektroniska kommunikationstjänster.
De olika säkerhetsaspekterna tillgänglighet, autenticitet, riktighet och konfidentialitet behandlas närmare under sidan Säkerhetsbegreppet.
Säkerhetsbegreppet
Här kan du läsa mer om lagens definition av säkerhetsbegreppet.
Säkerhetsincidenter som ska rapporteras till PTS
Den som tillhandahåller ett allmänt elektroniskt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst ska utan onödigt dröjsmål rapportera säkerhetsincidenter som har haft en betydande påverkan på nät och tjänster.
Rapporteringsskyldigheten gäller oavsett hur händelsen påbörjats eller vem som är ansvarig för dess uppkomst. Avgörande är istället vilka konsekvenser incidenten har haft.
Betydande påverkan på nät och tjänster
Aktörerna ska inte underrätta PTS om alla händelser som inträffar, utan endast säkerhetsincidenter som har haft en betydande påverkan på nät och tjänster.
Omständigheter som särskilt har betydelse för bedömningen av om en säkerhetsincident har haft en betydande påverkan är till exempel:
- Antal användare som påverkas av incidenten.
- Hur länge säkerhetsincidenten varar.
- Storleken på det drabbade geografiska området.
- I vilken utsträckning nätet eller tjänsten påverkas.
- I vilken utsträckning ekonomisk och samhällelig verksamhet påverkas.
Observera att dessa faktorer endast utgör exempel på omständigheter som kan vara aktuella att beakta vid bedömningen av betydande påverkan.
PTS föreskrifter tydliggör vilka incidenter som ska rapporteras
PTS föreskrifter gäller fr.o.m. 1 augusti 2022 och tydliggör ytterligare vilka säkerhetsincidenter som ska rapporteras till PTS. Säkerhetsincidenter som innebär en störning eller avbrott ska alltid rapporteras till PTS om incidenten når upp till vissa särskilt angivna tröskelvärden. Dessa tröskelvärden handlar om:
- hur många användare eller aktiva anslutningar som berörs
- hur stort geografiskt område som berörs
- hur stor andel av nätets eller tjänstens kapacitet som berörs
- hur länge incidenten har pågått
Utöver rapportering av incidenter som når upp till dessa tröskelvärden ska säkerhetsincidenter, oavsett om de avser störningar och avbrott eller berör någon av de andra säkerhetsaspekterna (autenticitet, riktighet eller konfidentialitet), rapporteras till PTS om incidenten på annat sätt har haft en betydande påverkan på kommunikationsnätet eller kommunikationstjänsten eller betydande påverkan på funktioner i samhället.
Säkerhetsincidenter hos leverantörer och följdincidenter
Rapporteringsskyldigheten gäller även för säkerhetsincidenter hos till exempel tredjeparts-leverantörer till den rapporteringsskyldige och för följdincidenter på grund av en sådan incident. Detta påverkar inte den rapporteringsskyldighet som leverantören självständigt kan ha med anledning av sin verksamhet.
En händelse kan behöva rapporteras enligt flera regelverk
En incident kan även behöva rapporteras enligt andra regelverk, såsom personuppgifts- eller säkerhetsskyddslagstiftningen.
Incidenter med påverkan på uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster ska även fortsättningsvis rapporteras som integritetsincidenter enligt bestämmelserna med ursprung i e-dataskyddsdirektivet.
Rapportering av integritetsincident
Här finns mer information om när och hur en integritetsincident ska rapporteras enligt e-dataskyddsdirektivet.
När och hur rapportering ska ske
När och hur rapportering ska ske och vad rapporterna ska innehålla framgår av lagen om elektronisk kommunikation (LEK) och PTS föreskrifter om säkerhet i nät och tjänster (PTSFS 2022:11) som gäller från den 1 augusti 2022.
Inledande rapport inom tre dagar
Om det behövs internt utredningsarbete för att kunna sammanställa samtliga uppgifter som ska lämnas till PTS sker rapporteringen i två steg, dels i direkt anslutning till säkerhetsincidenten om det som då är känt, dels vid ett senare tillfälle när samtliga uppgifter har sammanställts.
Av PTS föreskrifter framgår att tillhandahållaren ska lämna en inledande rapport till PTS inom tre dagar från det att säkerhetsincidenten upptäcktes. En kompletterande rapport ska lämnas inom två veckor från att den inledande rapporten lämnades. PTS kan bevilja anstånd för den kompletterande rapporten.
Rapportens innehåll
Rapporten bör innehålla de uppgifter som typiskt sett har betydelse för PTS bedömning av om kraven på säkerhetsåtgärder är uppfyllda eller om det finns anledning att vidta tillsynsåtgärder till följd av händelsen.
En underrättelse bör därför normalt innehålla uppgifter om till exempel när säkerhetsincidenten har inträffat, hur den upptäcktes, vad som har skett, omfattningen och konsekvenserna av incidenten samt vilka åtgärder som vidtagits för att minska konsekvenserna av incidenten och för att förhindra liknande incidenter i framtiden.
Av 3 och 4 §§ i kapitel 17 i PTS föreskrifter framgår närmare vilka uppgifter den inledande och kompletterande rapporten ska innehålla.
PTS rapporteringsblankett
Rapportera säkerhetsincident
Blankett för att rapportera säkerhetsincident till PTS. Blanketten ska skickas till e-post: incidentrapport@pts.se
Skicka incidentrapport till PTS
Incidentrapporten ska skickas till PTS via e-postadress incidentrapport@pts.se.
Informera allmänheten om säkerhetsincidenter
Om det ligger i allmänhetens intresse får PTS ålägga den som tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster att informera allmänheten om säkerhetsincidenter.
Vid bedömningen av om och hur allmänheten ska informeras, ska Sveriges säkerhet beaktas och säkerhetsskyddslagstiftningen ska följas.