Myndigheten för samhällsskydd och beredskaps författningssamling

Relevanta dokument
Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Svensk författningssamling

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Vägledning om rapportering av incidenter för leverantörer av samhällsviktiga tjänster enligt NIS-regleringen

Svensk författningssamling

Utredningen om genomförande av NIS-direktivet

Informationssäkerhet för samhällsviktiga och digitala tjänster

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

Myndigheten för samhällsskydd och beredskaps författningssamling

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

- Vad du behöver veta om NIS

Synpunkter föreskrifter och allmänna råd Kapitel Punkt Synpunkter Förslag till ändring Övriga kommentarer

Svensk författningssamling

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Stöd för ifyllande av incidentrapporteringsformulären för samhällsviktiga respektive digitala tjänster

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser;

Lotteriinspektionens författningssamling

Svensk författningssamling

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

Riktlinjer. Regler och förfaranden vid obestånd för deltagare i värdepapperscentraler 08/06/2017 ESMA SV

Skåne läns författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Statens räddningsverks författningssamling

Finansinspektionens författningssamling

NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

Finansinspektionens författningssamling

Statens räddningsverks författningssamling

Finansinspektionens författningssamling

Läkemedelsverkets författningssamling

Samhällets funktionalitet nuläge och utmaningar

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

SOSFS 2005:12 (M) Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Socialstyrelsens författningssamling

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Riktlinjer Samarbete mellan myndigheter enligt artiklarna 17 och 23 i förordning (EU) nr 909/2014

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Statens räddningsverks författningssamling

Finansinspektionens författningssamling

Svensk författningssamling

Finansinspektionens författningssamling

SOSFS 2011:7 (M) Föreskrifter och allmänna råd. Livsuppehållande behandling. Socialstyrelsens författningssamling

Statens energimyndighets författningssamling

Socialstyrelsens författningssamling. Ändring i föreskrifterna och allmänna råden (SOSFS 2005:28) om anmälningsskyldighet enligt lex Maria

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Svensk författningssamling

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Riktlinjer. handelsplatsers transaktionsflöde 08/06/2017 ESMA SV

Svensk författningssamling

Socialstyrelsens föreskrifter och allmänna råd om lex Maria;

Läkemedelsverkets föreskrifter om säkerhetsövervakning av humanläkemedel;

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) / av den

Finansinspektionens författningssamling

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Finansinspektionens författningssamling

NIS-reglering.

VERSION Ansvarig utgivare: Chefsjurist Eleonore Källstrand Nord

Riktlinjer för tillämpningen av punkterna 6 och 7 i avsnitt C i bilaga 1 till Mifid II

Naturvårdsverkets författningssamling

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd om ledning av kommunala räddningsinsatser

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Regelrådets ställningstagande. Innehållet i förslaget. Myndigheten för samhällsskydd och beredskap

Svensk författningssamling

Svensk författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Statens jordbruksverks författningssamling Statens jordbruksverk Jönköping, tel: telefax:

Myndigheten för samhällsskydd och beredskaps föreskrifter om identitetsmärkning och registrering av explosiva varor för civilt bruk;

Utredning av vårdskador

Statens jordbruksverks författningssamling Statens jordbruksverk Jönköping, tel: telefax:

Socialstyrelsens författningssamling. Ändring i föreskrifterna (SOSFS 2009:31) om vävnadsinrättningar i hälsooch sjukvården m.m.

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Svensk författningssamling

Socialstyrelsens författningssamling. Ändring i föreskrifterna (SOSFS 2009:31) om vävnadsinrättningar i hälsooch sjukvården m.m.

Remiss - förslag till föreskrifter om anmälan av allvarliga vårdskador (lex Maria)

SOSFS 2011:5 (S) Föreskrifter och allmänna råd. Lex Sarah. Socialstyrelsens författningssamling

Svensk författningssamling

för klagomålsförfaranden vid påstådda överträdelser av betaltjänstdirektiv 2

Statens jordbruksverks författningssamling Statens jordbruksverk Jönköping Tfn

Statens energimyndighets författningssamling

Riktlinjer Kalibrering av handelsspärrar och offentliggörande av handelsstopp i enlighet med Mifid II

Vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster enligt NIS-regleringen

1(6) Informationssäkerhetspolicy. Styrdokument

Socialstyrelsens författningssamling

Svensk författningssamling

Statens energimyndighets författningssamling

Transkript:

Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Anna Asp, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 Utkom från trycket den 8 januari 2019 Myndigheten för samhällsskydd och beredskaps föreskrifter 1 om rapportering av incidenter för leverantörer av samhällsviktiga tjänster; beslutade den 18 december 2018. Myndigheten för samhällsskydd och beredskap föreskriver följande med stöd av 9, 13 och 14 förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster. 1 kap. Inledande bestämmelser Tillämpningsområde 1 Denna författning innehåller bestämmelser om rapportering av incidenter för leverantörer av samhällsviktiga tjänster enligt 18 lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster inklusive vad som avses med en betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten. Begreppsförklaringar 2 De uttryck som förklaras i 2 lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster har samma innebörd i denna författning. 3 I denna författning avses med akutsjukhus Vårdinrättning som är inrättad för sluten vård och som har särskild akutmottagning för den som behöver omedelbar hälso- och sjukvård. extern aktör Underleverantör, inhyrda konsulter eller motsvarande. 1 Allmänna råd som ansluter till föreskrifterna finns på sid 7. 1

hälso- och sjukvård leverantör systemviktiga finansiella infrastrukturföretag Hälso- och sjukvård enligt Europarlamentets och rådets direktiv 2011/24/EU av den 9 mars om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård. Leverantör av samhällsviktig tjänst enligt Myndigheten för samhällsskydd och beredskaps föreskrifter (2018:7) om anmälan och identifiering av leverantörer av samhällsviktiga tjänster. Med systemviktiga finansiella infrastrukturföretag avses värdepapperscentral enligt 1 kap. 3 lagen (1998:1479) om värdepapperscentraler och kontoföringar av finansiella instrument, central motpart enligt definitionen i artikel 2 punkt 1 i Europaparlamentets och rådets förordning (EU) nr 648/2012 av den 4 juli 2012 om OTC-derivat, centrala motparter och transaktionsregister, eller clearingorganisation enligt 1 kap. 4b lagen (2007:528) om värdepappersmarknaden. störning i den samhällsviktiga tjänsten En konsekvens av en incident som innebär att den samhällsviktiga tjänsten inte levereras som normalt. 2 kap. Rapportering Rapporteringspliktig incident 1 Incidenter som orsakar störningar vilka får betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten är rapporteringspliktiga enligt 18 lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Av kapitel 3-9 framgår vad som är betydande inverkan inom respektive sektor. 2

Hur rapportering ska ske 2 Incidenter ska rapporteras till Myndigheten för samhällsskydd och beredskap via anvisade kontaktvägar. När rapportering ska ske 3 Leverantören ska 1. senast inom sex timmar från det att leverantören har identifierat att en incident är rapporteringspliktig, rapportera uppgifter enligt 4 punkt 1-8 till Myndigheten för samhällsskydd och beredskap. 2. senast inom 24 timmar från det att leverantören har identifierat att en incident är rapporteringspliktig rapportera uppgift enligt 4 punkt 9, samt vid behov ändra eller komplettera tidigare rapportering. 3. inom fyra veckor från det första rapporteringstillfället rapportera uppgift enligt 4 punkt 10-11, samt vid behov ändra eller komplettera tidigare rapportering. Rapportens innehåll 4 En rapport enligt 2 ska innehålla följande information. 1. Leverantörens namn. 2. Kontaktuppgifter till utsedd kontaktperson eller kontaktfunktion för incidenten och för störningen. 3. Berörd samhällsviktig tjänst. 4. Namn och organisationsnummer till extern aktör dit informationshantering har utkontrakterats i det fall incidenten inträffat hos den externa aktören. 5. En beskrivning av inträffad incident, utifrån a) tidpunkt för när incidenten inträffade och när den upptäcktes, b) om den fortfarande pågår eller tidpunkt för när drabbade nätverk och informationssystem återgick till normaldrift, c) händelseförlopp, d) hanteringen av incidenten, samt e) typ, orsak och konsekvenser. 6. En beskrivning av störningen, utifrån a) tidpunkt för när störningen uppstod samt när och hur den upptäcktes, b) om störningen fortfarande pågår eller tidpunkt för när den upphörde alternativt förväntas upphöra, c) dess påverkan på den samhällsviktiga tjänsten, d) användare som påverkas av störningen, samt e) geografiskt område som påverkas. 3

7. Bedömning av konsekvenser för andra än användare av den samhällsviktiga tjänsten. 8. Bedömning av konsekvenser i andra medlemsstater inom EU. 9. Uppgift om åtgärder för att minimera konsekvenserna av incidenten. 10. Uppgift om tidigare vidtagna åtgärder för att förebygga och hantera liknande incidenter. 11. Uppgift om nya åtgärder för att förhindra att liknande incidenter inträffar på nytt. 5 Om den rapporterande leverantören inom ett år från det att rapportering har skett konstaterar att lämnade uppgifter är felaktiga ska uppgifterna korrigeras utan onödigt dröjsmål. 3 kap. Rapporteringspliktiga incidenter inom energi 1 Leverantörer inom el ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som 1. har pågått i minst två timmar och som har påverkat a) minst 2 000 kunder, eller b) minst 50 % av kunderna, eller 2. har påverkat styrning och övervakning av transmissionsnät, regionnät eller elproduktion. 2 Leverantörer inom gasförsörjningen ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som 1. innebär risk för en händelse som resulterar i en avsevärd försämring av försörjningssituationen för gas, 2. kan leda till avbrott i gasförsörjningen, eller 3. har påverkat styrning och övervakning inom ramen för systemansvarstjänst. 3 Leverantörer inom olja i form av flytande drivmedel och bränslen ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som 1. har pågått i minst 12 timmar, eller 2. påverkar styrning och övervakning av ledning, överföring och distributionsnätverk under minst två timmar. 4 kap. Rapporteringspliktiga incidenter inom transport 1 Leverantörer inom transport ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som 1. har pågått i minst en timme och kan antas ha påverkat a) minst 1000 användare, eller 4

b) ett sammanhängande geografiskt område om minst 10 000 km 2, eller 2. har pågått i minst två timmar. 5 kap. Rapporteringspliktiga incidenter inom bankverksamhet 1 Leverantörer inom bankverksamhet ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som 1. innebär att transaktioner inte kan eller sannolikt inte kommer att kunna initieras eller behandlas för a) minst 25 % av leverantörens normala antal transaktioner, eller b) minst 25 % av leverantörens användare, eller 2. pågår sammanlagt minst tre timmar under en 24-timmars period. 6 kap. Rapporteringspliktiga incidenter inom finansmarknadsinfrastruktur 1 Leverantörer inom finansmarknadsinfrastruktur ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som 1. innebär avvikelse från sådan konnektivitet som avses i art. 11 punkt 5 Kommissionens delegerade förordning (EU) 2017/584 av den 14 juli 2016 om komplettering av Europaparlamentets och rådets direktiv 2014/65/EU avseende tekniska tillsynsstandarder som specificerar organisatoriska krav för handelsplatser, 2. påverkar väsentliga tjänster hos systemviktiga finansiella infrastrukturföretag och har pågått i minst en timme, eller 3. har pågått i minst två timmar. 7 kap. Rapporteringspliktiga incidenter inom hälso- och sjukvård 1 Leverantörer inom hälso- och sjukvård ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som 1. innebär att anmälningsskyldighet inträder enligt 3 kap. 5 första stycket patientsäkerhetslagen (2010:659), 2. har påverkat tillhandahållandet av ambulans och ambulanssjukvård enligt 7 kap. 6 hälso- och sjukvårdslagen (2017:30), 3. innebär att sådan hälso- och sjukvård som baseras på system som insamlar, bearbetar, lagrar eller distribuerar och presenterar information inte kan tillhandahållas i minst två timmar, eller 4. har pågått i minst sex timmar. 5

8 kap. Rapporteringspliktiga incidenter inom leverans och distribution av dricksvatten 1 Leverantörer inom leverans och distribution av dricksvatten ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som 1. har pågått i minst två timmar och som a) kan antas ha påverkat minst 2 000 personer, b) har påverkat akutsjukhus, eller 2. har påverkat styrning och övervakning av tjänsten. 9 kap. Rapporteringspliktiga incidenter inom digital infrastruktur 1 Leverantörer inom digital infrastruktur ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som innebär 1. att toppdomänens namnservertjänst har en tillgänglighet på mindre än 100 procent, 2. förlorad konfidentialitet eller riktighet i lagrade, överförda eller behandlade data i samband med tillhandahållande av en toppdomäns namnservertjänst som har berört fler än 2 500 domännamn, 3. att en rekursiv namnservertjänst har en tillgänglighet på mindre än 100 procent under en sammanhängande period som överstiger en timme, 4. förlorad konfidentialitet eller riktighet i lagrade, överförda eller behandlade data i samband med tillhandahållande av en rekursiv namnservertjänst som har berört fler än 10 000 användare, 5. att en auktoritativ namnservertjänst har en tillgänglighet på mindre än 100 procent under en sammanhängande period som överstiger två timmar, eller 6. förlorad konfidentialitet eller riktighet i lagrade, överförda eller behandlade data i samband med tillhandahållande av en auktoritativ namnservertjänst som har berört fler än 2 500 domännamn. Denna författning träder i kraft den 1 mars 2019. Myndigheten för samhällsskydd och beredskap DAN ELIASSON Carina Wetzel (Avdelningen för cybersäkerhet och skydd av samhällsviktig verksamhet) 6

Myndigheten för samhällsskydd och beredskaps allmänna råd om rapportering av incidenter för leverantörer av samhällsviktiga tjänster Följande allmänna råd ansluter till Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av incidenter för leverantörer av samhällsviktiga tjänster. Termer och uttryck som används i föreskrifterna har samma betydelse här. Allmänna råd har en annan juridisk status än föreskrifter. Allmänna råd är inte tvingande. Deras funktion är att förtydliga innebörden i lag, förordning eller myndighetsföreskrifter och att ge generella rekommendationer om deras tillämpning. Allmänna råd är markerade med grå bakgrund. Myndigheten för samhällsskydd och beredskap ÅKE HOLMGREN Carina Wetzel (Avdelningen för cybersäkerhet och skydd av samhällsviktig verksamhet) 7

2 kap. Rapportering Hur rapportering ska ske 2 Anvisade kontaktvägar finns på www.msb.se. När rapportering ska ske 3 Leverantören bör säkerställa att det finns interna regler och arbetssätt för att utan dröjsmål kunna identifiera om en incident uppfyller kriterierna i kap. 3-9 och därmed är rapporteringspliktig. Rapportens innehåll 4 p 2. Kontaktuppgifter bör hållas uppdaterade och bör inkludera roll, telefonnummer och e-postadress samt uppgift om tillgänglighet. p 5. e) En beskrivning av konsekvenser bör göras utifrån tillgänglighet, riktighet och konfidentialitet. p 11. Vid rapportering av vilka åtgärder som planeras bör sådana åtgärder som vidtas för att hantera incidentens grundorsak redovisas. 5 Även uppgifter som vid rapportering bedöms vara korrekta bör korrigeras om de senare visar sig vara felaktiga. Beställningsadress: Norstedts Juridik, 106 47 Stockholm Telefon: 08-598 191 90 E-postadress: kundservice@nj.se Webbadress: www.nj.se/offentligapublikationer 8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss