1 (7) Regelverk för identitetsfederationer för Svensk e-legitimation Bilaga J Rapporteringsrutiner
2 (7) 1. Bakgrund och syfte 1.1 Detta dokument är en bilaga till huvudtexten i Regelverk för identitetsfederationer för Svensk e-legitimation (Regelverket). De begrepp som definieras i huvudtexten har samma betydelse i denna bilaga. 1.2 Bilagan redovisar de rutiner som ska gälla avseende rapportering av säkerhetsrelaterade händelser, funktionsfel och övriga störningar samt statistik, prognoser och andra uppgifter enligt vad som framgår av Regelverket för: (c) (d) Federationsoperatörens rapportering, Leverantörer av eid-tjänsts rapportering, Tillhandahållare av e-tjänsts rapportering, samt Federationsoperatörens återkoppling till rapporteringsskyldiga parter. 2. Definitioner I denna bilaga betyder Rapporteringspliktig incident: en oönskad och oplanerad händelse som kan påverka Användare, Tillhandahållare av e-tjänst eller den generella tilltron till Svensk e-legitimation, eller som kan innebära en störning i aktuell Parts förmåga att fullgöra åtaganden enligt Regelverket, Allvarlig driftstörning: Rapporteringspliktig incident som har påverkan på aktuell Parts förmåga att fullgöra de driftrelaterade åtaganden som följer av Regelverket och som kan innebära en betydande störning för Tillhandahållare av e-tjänst, samt Allvarlig säkerhetsincident: Rapporteringspliktig incident med påverkan på säkerhetsskyddet omgärdande hanteringen av e-legitimationer, som kan komma att föranleda omedelbara åtgärder från Federationsoperatörens sida.
3 (7) 3. Kontaktvägar 3.1 Federationsoperatören ska rapportera till Leverantörer av eidtjänst samt till Tillhandahållare av e-tjänst. 3.2 Leverantörer av eid-tjänst och Tillhandahållare av e-tjänst ska rapportera till Federationsoperatören. 3.3 Varje Leverantör av eid-tjänst och Tillhandahållare av e-tjänst ska: etablera och upprätthålla kontaktvägar för rapportering till och från Federationsoperatören, och hålla Federationsoperatören underrättad om aktuella kontaktvägar och kontaktuppgifter för denna rapportering. 3.4 Rapportering och återkoppling ska ske med elektroniska medel. 4. Incidentrapportering 4.1 Part ska utan dröjsmål rapportera Allvarliga driftstörningar och Allvarliga säkerhetsincidenter. 4.2 Så länge en händelse, som är rapporterad enligt punkt 4.1, är pågående ska rapporteringsskyldig Part hålla rapportmottagare uppdaterad om händelsen. 4.3 Incidentrapport enligt 4.1 ska omfatta: (c) (d) (e) (f) (g) (h) den rapporterande Partens namn (rapportör), kort beskrivande benämning på händelsen (namn), unik referens för händelsen (referens), status på händelsen (status), kategorisering av händelsen (kategorisering), när händelsen inträffade eller den uppskattade tidpunkten för den (tidpunkt), när Parten upptäckte händelsen (upptäckt), en översiktlig beskrivning av händelsen (beskrivning), och
4 (7) (i) bedömning av händelsens omfattning och konsekvenser samt annan information som kan vara av värde för övriga Parter (analys). Rapporten ska, såvitt avser struktur och format, utformas enligt Federationsoperatörens vid var tid skäligen lämnande instruktioner. Om rapporteringsskyldig Part inte har fullständiga uppgifter i alla delar för rapporten vid rapporteringsögonblicket kan rapporten kompletteras vid senare tillfälle. I vissa fall kan det vara lämpligt eller nödvändigt att lämna begränsat med information i incidentrapporten. Det kan till exempel gälla om händelsen polisanmäls eller för att inte känslig information ur ett informationssäkerhetsperspektiv ska avslöjas. Se även avsnitt 10 om allmän handling. 4.4 På anmodan av Federationsoperatören ska en rapporteringsskyldig Part komplettera inlämnade uppgifter om en Rapporteringspliktig incident med de uppgifter som behövs för att klarlägga hur händelsen kan påverka säkerhetsskyddet omgärdande hanteringen av e-legitimationer. 4.5 En rapporteringsskyldig Part, som använder sig av underleverantör för att utföra del av tjänst, ska genom avtal med underleverantören säkerställa att Rapporteringspliktiga incidenter kan hanteras och rapporteras på det sätt som framgår av denna bilaga. 5. Kvartalsvis rapportering 5.1 Leverantörer av eid-tjänst ska vid slutet av varje kvartal sammanställa en rapport avseende: alla Rapporteringspliktiga incidenter som inträffat under det gångna kvartalet, sammanställt med antal händelser fördelade på kategori och påverkansgrad, och utfall av servicenivåer och avvikelser från i regelverket fastställda servicenivåer i enlighet med Bilaga C Servicenivåer. 5.2 Den kvartalsvisa rapporten ska avse helt kvartal och rapporteras senast i efterföljande månad.
5 (7) 5.3 Den kvartalsvisa rapporten ska, såvitt avser struktur och format, utformas enligt Federationsoperatörens vid var tid skäligen lämnande instruktioner. 6. Prognoser 6.1 Varje Tillhandahållare av e-tjänst ska senast den 1 september lämna en prognos för kommande år med följande innehåll: (c) (d) (e) (f) beräknat totalt antal begärda Identitetsintyg för legitimering per år (för de tre närmsta åren), beräknat totalt antal begärda Identitetsintyg för underskrifter per år (för de tre närmsta åren), fördelningen av det totala antalet Identitetsintyg över årets månader med angivande av perioder med särskilt hög belastning, antal unika Användare per år (för de tre närmsta åren), antal e-tjänster (för de tre närmsta åren), samt antal nya e-tjänster (ange år när de planeras sättas i drift). 6.2 Prognosen ska, såvitt avser struktur och format, utformas enligt Federationsoperatörens vid var tid skäligen lämnande instruktioner. 7. Statistik 7.1 Leverantör av eid-tjänst ska varje månad sammanställa och redovisa följande statistik per Tillhandahållare av e-tjänst, fördelat på de e-tjänster som Tillhandahållaren av e-tjänst har representerade i Identitetsfederationens metadaregister: antal utfärdade Identitetsintyg, och antal Användare som intyg utfärdats till. 7.2 Leverantörer av eid-tjänst ska rapportera in statistik till Federationsoperatören månadsvis.
6 (7) 7.3 Statistikrapporten för Leverantör av eid-tjänst ska avse kalendermånad och rapporteras senast den 15:e i efterföljande månad. Av rapporten ska framgå vilken månad som avses för rapporterad statistik. 7.4 Statistikrapporten ska, såvitt avser struktur och format, utformas enligt Federationsoperatörens vid var tid skäligen lämnande instruktioner. 7.5 Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan Användare och e-tjänst. 8. Federationsoperatörens återkoppling 8.1 Federationsoperatören ska ge återkoppling till rapporteringsskyldiga Parter vad som framkommit av incidentrapporteringen och operatörens arbete i övrigt avseende säkerhetsfrågor. 8.2 Återkoppling ska ges regelbundet och i övrigt när det behövs för säkerhetsskyddet inom Identitetsfederationen. 9. Övrig rapportering 9.1 Leverantör av eid-tjänst ska till Federationsoperatören rapportera planerade ändringar i tjänst såsom nya eller ändrade funktioner i tjänst eller andra ändringar som kan ha påverkan för Tillhandahållare av e-tjänst eller för användarna av tjänsten. 9.2 Leverantör av eid-tjänst ska rapportera alla väsentliga förändringar i leverantörens utförande av sina åtaganden enligt Regelverket. 9.3 Rapportering av ändringar enligt 9.1 och 9.2 ska ske minst sex (6) månader före det att ändringen träder i kraft, såtillvida ändringen inte är föranledd av allvarliga säkerhetskäl, beslut av domstol eller annan myndighet eller annat särskilt skäl. I sådant fall ska Leverantör av eid-tjänst snarast möjligen rapportera ändringen samt sakligt redogöra för de skäl som föranleder frånsteget. 9.4 Vid rapportering av väsentliga förändringar enligt 9.2 ska Leverantör av eid-tjänst bifoga dokumentation till stöd för Federationsoperatörens bedömning av fortsatt uppfyllelse av krav enligt Regelverket.
7 (7) 9.5 Övriga viktiga händelser som har eller kan ha påverkan på Identitetsfederationen, tjänst eller för användarna av tjänsten ska rapporteras. 10. Allmän handling, sekretess, persondataskydd, etc. 10.1 Information som inkommer till eller lämnas ut av Federationsoperatören blir allmän handling hos myndigheten E-legitimationsnämnden. Allmän handling kan begäras utlämnad. Vid utlämnade ska en sekretessprövning ske. Men även om myndigheten bedömer att handlingen inte kan lämnas ut på grund av att handlingen innehåller uppgifter som omfattas av sekretess kan det inte garanteras att handlingen inte kommer att lämnas ut, eftersom myndighetens beslut kan komma att prövas i domstol. Rapportering till och från Federationsoperatören bör därför inte omfatta information som kan skada säkerhetsskyddet inom Identitetsfederationen eller annat typ av information som kan betraktas som affärshemlig. 10.2 Behandling av personuppgifter regleras av personuppgiftslagen. I Regelverket framgår också hur ansvar för behandling av personuppgifter fördelas mellan Parterna. För det fallet att någon Part lämnar ut personuppgifter till annan Part i samband med rapportering kan den mottagande Parten bli ansvarig gentemot den rapporterande Parten för den vidare behandlingen av personuppgifterna. Personuppgifter bör i så liten omfattning som möjligt ingå i rapporteringen mellan Parterna.