Rapportera säkerhetsincident

Incidenter som har haft en betydande påverkan på nät och tjänster måste rapporteras till PTS. Här beskriver vad som är en säkerhetsincident och vilka incidenter som är rapporteringspliktiga.

Trots att tillhandahållare vidtar säkerhetsåtgärder kan det inträffa händelser som påverkar förmågan att upprätthålla en viss säkerhetsnivå och som kan vara säkerhetsincidenter som ska rapporteras till PTS.

Detta är en säkerhetsincident

Det finns två typer av händelser som enligt lagen om elektronisk kommunikation definieras som säkerhetsincidenter. 

Säkerhetsincident enligt LEK

  • En händelse med direkt negativ påverkan på tillgängligheten, riktigheten, autenticiteten eller konfidentialiteten.
  • En händelse som påverkar förmågan att upprätthålla en viss säkerhetsnivå avseende tillgänglighet, autenticitet, riktighet eller konfidentialitet.

Händelser kan inträffa genom yttre påverkan, som till exempel sabotage, men kan också bero på brister eller otillåtet förfarande hos operatören som till exempel brister i organisationen, misstag eller tekniska fel i system.

För att klassas som en säkerhetsincident ska händelsen även beröra något av nedanstående objekt. 

En säkerhetsincident berör minst en säkerhetsaspekt för något av följande:

  • Elektroniskt kommunikationsnät.
  • Elektronisk kommunikationstjänst.
  • Lagrade, överförda eller behandlade uppgifter.
  • Närliggande tjänster som erbjuds genom eller är tillgängliga via dessa elektroniska kommunikationsnät eller elektroniska kommunikationstjänster.

De olika säkerhetsaspekterna tillgänglighet, autenticitet, riktighet och konfidentialitet behandlas närmare under sidan Säkerhetsbegreppet.

Säkerhetsbegreppet

Här kan du läsa mer om lagens definition av säkerhetsbegreppet.

Säkerhetsincidenter som ska rapporteras till PTS

Den som tillhandahåller ett allmänt elektroniskt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst ska utan onödigt dröjsmål rapportera säkerhetsincidenter som har haft en betydande påverkan på nät och tjänster.

Rapporteringsskyldigheten gäller oavsett hur händelsen påbörjats eller vem som är ansvarig för dess uppkomst. Avgörande är istället vilka konsekvenser incidenten har haft.

Betydande påverkan på nät och tjänster

Aktörerna ska inte underrätta PTS om alla händelser som inträffar, utan endast säkerhetsincidenter som har haft en betydande påverkan på nät och tjänster.

Omständigheter som särskilt har betydelse för bedömningen av om en säkerhetsincident har haft en betydande påverkan är till exempel:

  • Antal användare som påverkas av incidenten.
  • Hur länge säkerhetsincidenten varar.
  • Storleken på det drabbade geografiska området.
  • I vilken utsträckning nätet eller tjänsten påverkas.
  • I vilken utsträckning ekonomisk och samhällelig verksamhet påverkas.

Observera att dessa faktorer endast utgör exempel på omständigheter som kan vara aktuella att beaktas vid bedömningen av betydande påverkan.

Säkerhetsincidenter hos leverantörer och följdincidenter

Rapporteringsskyldigheten gäller även för säkerhetsincidenter hos till exempel tredjeparts-leverantörer till den rapporteringsskyldige och för följdincidenter på grund av en sådan incident. Detta påverkar inte den rapporteringsskyldighet som leverantören självständigt kan ha med anledning av sin verksamhet.

En händelse kan behöva rapporteras enligt flera regelverk

En incident kan även behöva rapporteras enligt andra regelverk, såsom personuppgifts- eller säkerhetsskyddslagstiftningen.

Incidenter med påverkan på uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster ska även fortsättningsvis rapporteras som integritetsincidenter enligt bestämmelserna med ursprung i e-dataskyddsdirektivet.

Rapportering av integritetsincident

Här finns mer information om när och hur en integritetsincident ska rapporteras enligt e-dataskyddsdirektivet.

När och hur rapportering ska ske

När och hur rapportering ska ske och vad rapporterna ska innehålla framgår av LEK samt PTS föreskrifter. Det pågår just nu en översyn av dessa föreskrifter och nya föreskrifter förväntas träda i kraft i augusti 2022.

Tillhandahållare ska rapportera säkerhetsincidenter som har haft en betydande påverkan på nät och tjänster utan onödigt dröjsmål.

Utan onödigt dröjsmål

Att rapportering ska göras utan onödigt dröjsmål betyder att den som regel ska ske så snart de första kritiska åtgärderna för att avhjälpa säkerhetsincidenten har vidtagits och de uppgifter som ska lämnas finns tillgängliga.

Om det behövs internt utredningsarbete för att kunna sammanställa samtliga uppgifter som ska lämnas till tillsynsmyndigheten sker rapporteringen i två steg, dels i direkt anslutning till säkerhetsincidenten om det som då är känt, dels vid ett senare tillfälle när samtliga uppgifter har sammanställts.

Rapportens innehåll

Rapporten bör innehålla de uppgifter som typiskt sett har betydelse för PTS bedömning av om kraven på säkerhetsåtgärder är uppfyllda eller om det finns anledning att vidta tillsynsåtgärder till följd av händelsen.

En underrättelse bör därför normalt innehålla uppgifter om till exempel när säkerhetsincidenten har inträffat, hur den upptäcktes, vad som har skett, omfattningen och konsekvenserna av incidenten samt vilka åtgärder som vidtagits för att minska konsekvenserna av incidenten och för att förhindra liknande incidenter i framtiden.

Skicka incidentrapport till PTS

Incidentrapporten ska skickas till PTC via e-postadress incidentrapport@pts.se.

Informera allmänheten om säkerhetsincidenter

Om det ligger i allmänhetens intresse får PTS ålägga den som tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster att informera allmänheten om säkerhetsincidenter. 

Vid bedömningen av om och hur allmänheten ska informeras, ska Sveriges säkerhet beaktas och säkerhetsskyddslagstiftningen ska följas.