Incidentrapportering av säkerhetsincidenter och integritetsförluster

Tillhandahållare av betrodda tjänster har en skyldighet enligt artikel 19 i förordningen att utan dröjsmål, senast 24 timmar efter upptäckt, rapportera säkerhetsincidenter eller integritetsförluster som i betydande omfattning påverkar den betrodda tjänst som tillhandahålls eller på de personuppgifter som ingår i denna. Dessa incidenter ska rapporteras till PTS och i vissa fall finns även en skyldighet att rapportera dessa till Datainspektionen eller Myndigheten för samhällsskydd och beredskap.

När det är troligt att säkerhetsincidenten eller integritetsförlusten kommer att ha negativ inverkan på en fysisk eller juridisk person till vilken den betrodda tjänsten har tillhandahållits, ska även den fysiska eller juridiska personen underrättas om säkerhetsincidenten eller integritetsförlusten. Det är tillhandahållaren av den betrodda tjänsten som utan onödigt dröjsmål ska underrätta den berörda fysiska eller juridiska personen.

Om ett avslöjande av säkerhetsincidenten eller integritetsförlusten ligger i allmänhetens intresse ska PTS informera allmänheten eller kräva att tillhandahållaren gör det.

Vad innebär betydande omfattning?

Tillhandahållaren behöver analysera den inträffade incidenten eller integritetsförlusten för att bedöma om den är av betydande omfattning. Vid tveksamheter, till exempel om tillhandahållaren misstänker att en sårbarhet har utnyttjas, är det bättre att rapportera det som en inträffad incident än att låta bli. Om det senare visade sig att sårbarheten inte utnyttjas behöver däremot inga andra kompletteringar göras till PTS än att lämna information om att sårbarheten inte utnyttjas.

Exempel på indikatorer på att en incident eller en integritetsförlust är av betydande omfattning kan vara att incidenten innebär något av följande:

  • Otillgänglighet av för den betrodda tjänsten kritiska funktioner som till exempel revokeringsinformation
  • Integritetsbrister som leder till felaktiga resultat, till exempel vid validering eller att certifikat utfärdats till fel person
  • Oavsiktligt eller otillåtet avslöjande av personuppgifter

Vad behöver incidentrapporterna innehålla?

Incidentrapporterna behöver, utöver uppgifter om vem som rapporterar och kontaktuppgifter, innehålla uppgifter om:

  • Påverkade betrodda tjänster
  • När incidenten inträffade och avslutades
  • Konsekvenserna av incidenten för tillhandahållaren, användare och förlitande parter
  • Beskrivning av incidenten
    • Grundorsak och eventuella andra underliggande orsaker
    • Vilka tillgångar som påverkats av incidenten
  • Vilka åtgärder som vidtagits för att hantera incidenten
  • Åtgärder för att undvika att motsvarande incident inträffar igen
  • Lärdomar och förbättringar efter inträffad incident

En mall för rapportering finns till höger.

Incidentrapporter ska lämnas till PTS funktionsbrevlåda incidentrapport@pts.se. Det finns en möjlighet att kryptera information genom att använda S/MIME. Certifikat med publik nyckel för kryptering av incidentrapporten (om det inte fungerar att klicka på länken, högerklicka och välj "Spara som").