Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Relevanta dokument
Gräns för utkontraktering av skyddsvärd information

Justitiedepartementet Stockholm

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Konsekvensutredning för upphävande av Statens räddningsverks föreskrifter (SVRFS 2007:3) om erkännande av utländska yrkeskvalifikationer

Myndigheten för samhällsskydd och beredskaps författningssamling

Svensk författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Beskrivning av alternativa lösningar för det man vill uppnå och vilka effekterna blir om någon reglering inte kommer till stånd

Konsekvensutredning för föreskrift om kommuners och landstings risk- och sårbarhetsanalyser

Konsekvensutredning på förslaget till revision av MSBFS 2016:3 om hantering av explosiva varor

Årsrapport Itincidentrapportering

Konsekvensutredning för föreskrift om kommuners och Bandstings risk- och sårbarhetsanalyser

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

SKOLFS. beslutade den XXX.

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

I samband med ovanstående ändring av MSBFS 2010:4 föreslås även redaktionella ändringar av denna föreskrift vilka uteslutande handlar om

ram för Allmänt är om Verkställighet livslångt lärande kvalifikationer för medlemsstaterna Kvalitetssäkring av styrdokument anges

Konsekvensutredning till föreskrifter om ändring av Statens jordbruksverks föreskrifter (SJVFS 2015:49)

Strategi för förstärkningsresurser

Informationssäkerhet för samhällsviktiga och digitala tjänster

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Myndigheten för samhällsskydd och beredskaps författningssamling

Konsekvensutredning avseende Myndigheten för samhällsskydd och beredskaps föreskrifter om pyrotekniska artiklar

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Nya krav på systematiskt informationssäkerhets arbete

Konsekvensutredning rörande reviderade föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

Utredningen om genomförande av NIS-direktivet

Ni inbjuds att senast den 28 mars lämna synpunkter på förslag till föreskrifter och tillhörande konsekvensutredning.

Innehållet i konsekvensutredningen utgår från 6-8 i förordningen (2007:1244) om konsekvensutredning vid regelgivning.

Kommittédirektiv. Genomförande av EU-direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem. Dir.

Remiss - förslag till föreskrifter om anmälan av allvarliga vårdskador (lex Maria)

REMISSVAR 1 (12) Rättsenheten Sven Johnard. Mottagare

Föredragande borgarrådet Sten Nordin anför följande.

1. Inspektionen för vård och omsorg 2. Polismyndigheten 3. Rättsmedicinalverket 4. Skatteverket

Konsekvensutredning avseende förslag till:

Boverket. Konsekvensutredning /2012

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Stöd för arbetet med regleringsbrevsuppdrag Informationssäkerhet i RSA

Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser;

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerheten i den civila statsförvaltningen

Konsekvensutredning förslag till föreskrifter om nationell högspecialiserad vård

och Skolverkets föreskrifter (SKOLFS 2011:14) om examensmål för yrkesdansarutbildningen i gymnasieskolan.

Nationell risk- och förmågebedömning 2017

Reviderad konsekvensutredning avseende förslag till:

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Nationellt system för itincidentrapportering

Konsekvensutredning. förslag till nya föreskrifter om exportkarantän för hästar för export till tredjeland. A Allmänt

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Programmet för säkerhet i industriella informations- och styrsystem

Ändringar i Presstödsförordningen (1990:524) kommer att träda i kraft den 1 januari Ändringarna innebär bl.a. en namnändring av nämnden.

1. Beskrivning av problemet och vad man vill uppnå

Konsekvensutredning inför ändring av SJVFS 2013:19 Statens jordbruksverks föreskrifter om producentorganisationer för frukt och grönsaker

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

Myndigheten för samhällsskydd och beredskaps föreskrifter om ackreditering av organ som ska kontrollera fordon för transport av farligt gods

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Dnr 63643/2012 1(1) Avdelningen för regler och tillstånd Katrin Westlund

Beskrivning av alternativa lösningar för det man vill uppnå och vilka effekterna blir om någon reglering inte kommer till stånd

konsekvensutredning Datum Vår beteckning Sid RP 2014/ (8)

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige

Översyn av Naturvårdsverkets föreskrifter om förvaltning av björn, varg, järv, lo och kungsörn - konsekvensutredning

Remiss av förslag till föreskrift

Konsekvensutredning av ny föreskrift om säkerheter för jordbruksprodukter

- Vad du behöver veta om NIS

Synpunkter föreskrifter och allmänna råd Kapitel Punkt Synpunkter Förslag till ändring Övriga kommentarer

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Konsekvensutredning av Transportstyrelsens föreskrifter och allmänna råd om flygande inspektion

Svensk författningssamling

Workshop spår 1 lokal Biljetten Konsekvensanalys vid regelgivning

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Yttrande över En ny säkerhetsskyddslag (SOU 2015:25)

Föreslagna ändringar i föreskriften Nedan presenteras de föreslagna ändringarna i föreskriften.

Konsekvensutredning avseende förslag till föreskrifter om ansökan om deltagande i försöksverksamhet

Remiss, konsekvensutredning gällande ändringsförslag avseende föreskrifter om ackreditering. Inledning

FSPOS & SOES - Beskrivning för att tydliggöra gränsdragning

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Remissvar Så stärker vi den personliga integriteten (SOU 2017:52)

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Konsekvensutredning av upphävande av föreskrifter och allmänna råd för ackrediterade kontrollorgan för kontroll av tryckbärande anordningar m.m.

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

Konsekvensutredning - Transportstyrelsens föreskrifter om säkerhet i vägtunnlar

Skolinspektionens förslag till ändring i;

1 Bakgrund. Myndigheten för samhällsskydd och beredskap Konsekvensutredning 1 (5) Datum

Att säkerställa informationssäkerhet vid upphandling

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

MSB för ett säkrare samhälle i en föränderlig värld

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Myndigheten för samhällsskydd och beredskaps författningssamling

Konsekvensutredning av förslag till ändring i följande föreskrifter:

Konsekvensutredning Myndigheten för tillgängliga mediers föreskrifter om taltidningar och mottagarutrustning

Konsekvensutredning förslag till föreskrifter om extemporeapotek

Konsekvensutredning. Boverkets föreskrifter om stöd till nationella projekt för utveckling av tillämpning av planoch bygglagen (2010:900)

Yttrande över delbetänkandet Digitalforvaltning.nu (SOU 2017:23)

Regelrådets ställningstagande. Innehållet i förslaget. Myndigheten för samhällsskydd och beredskap

Årsrapport it-incidentrapportering

Transkript:

samhällsskydd och beredskap Konsekvensutredning 1 (5) Ingela Darhammar Hellström Avdelningen för risk- och sårbarhetsreducerande arbete Verksamheten för samhällets informations- och cybersäkerhet 072-233 62 81 Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter A. Allmänt Beskrivning av problemet och vad man vill uppnå Under det senaste årtiondet har inte bara användningen av informationsteknik i samhället ökat, utan även sårbarheten med avseende på detta. I dag har samhället inte förmåga att vare sig identifiera eller hantera allvarliga itincidenter på ett systematiskt sätt och vi vet inte heller vad de grundar sig i eller vilken påverkan de har på enskilda användare, samhällsviktiga verksamheter eller samhällets säkerhet i stort. Många incidenter upptäcks aldrig. När en organisation har drabbats kan det ta flera dagar innan andra aktörer får kunskap om incidenten och kan agera, om de alls får veta att den inträffat. Bristen på information och en rättvisande lägesbild kan få långtgående konsekvenser för både statliga myndigheter och andra aktörer och försvårar det systematiska arbetet med samhällets informationssäkerhet. Det gör det svårt för beslutsfattare att förstå den totala effekten och eventuella beroendeförhållanden. I betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige föreslås att krav på it-incidentrapportering införs rörande it-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten levererar till en annan organisation. It-incidenterna föreslås rapporteras till MSB med undantag för itincidenter med koppling till informationssystem där hemliga uppgifter behandlas. Dessa ska enligt utredarens förslag istället rapporteras till den myndighet som har tillsyn över säkerhetsskyddet enligt 39 säkerhetsskyddsförordningen (1996:633), det vill säga Försvarsmakten eller Säkerhetspolisen. Regeringen har genom förordning om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap (2015:xxx) infört regler om obligatorisk it-incidentrapportering för statliga myndigheter. Kravet börjar gälla den 1 april 2016. Det kommer att innebära att statens övergripande ansvar för informationssäkerhet i samhället görs tydligare, bland annat genom att det bidrar till att upprätthålla en korrekt omvärldsbevakning och lägesbild över området. MSB-151.6

samhällsskydd och beredskap Konsekvensutredning 2 (5) Beskrivning av alternativa lösningar för det man vill uppnå och vilka effekterna blir om någon reglering inte kommer till stånd I takt med att beroendet av fungerande it-system och it-infrastruktur för både individ och samhälle har ökat har flera åtgärder vidtagits för att förbättra lägesbilden över inträffade it-incidenter i samhället främst genom att ge aktörer både inom den offentliga och privata sektorn en möjlighet att frivilligt rapportera it-incidenter till en nationell funktion. Trots dessa insatser bedöms mörkertalet fortfarande vara stort vad gäller inträffade it-incidenter. 1 En kvarvarande utmaning är låg rapporteringsbenägenhet när denna sker på frivillig basis. Problematiken finns inte bara nationellt utan även på EU-nivå där arbete pågår med att införa krav på obligatorisk it-incidentrapportering för aktörer inom en rad olika sektorer. Ju fler som rapporterar in desto effektivare kan stödet för samhällets informationssäkerhet bli. Rapporteringen ger nämligen möjlighet att snabbt varna andra som kan vidta förebyggande åtgärder och på det sättet kan både konsekvenser och antalet drabbade aktörer begränsas. Genom rapporteringen kan dessutom ett empiriskt och statistiskt fastställt underlag skapas och som därigenom ger en samlad lägesbild över it-incidenterna i samhället. Detta ger ökad möjlighet att återkoppla med relevant information och stöd till berörda aktörer, inrikta förebyggande insatser, dra lärdom av it-incidenterna samt minska mörkertalet. När det finns en skyldighet på förordningsnivå att rapportera men det inte i verkställighetsföreskrifter närmare har specificerats exakt hur rapporten ska utformas kan jämförbarheten påverkas negativt. Genom att enhetlig inrapportering saknas finns stora risker för att jämförbarheten mellan itincidentrapporter förloras och att eventuella kopplingar mellan it-incidenter förbises på grund av brist på information. Ett system för it-incidentrapportering ska kunna användas för att varna andra och därigenom minska konsekvenser av inträffade incidenter, utgöra underlag för analyser och en samlad lägesbild över tid när det gäller samhällets informationssäkerhet. För att systemet ska kunna användas på avsett sätt behövs därför en tydlig struktur som klargör vad som ska rapporteras, när och hur. Det är således centralt att detta tydliggörs på föreskriftsnivå. Föreskrifterna bör kompletteras med allmänna råd. Uppgifter om vilka som berörs av regleringen Författningen berör endast de statliga myndigheter som omfattas av förordningskravet på obligatorisk it-incidentrapportering. 1 Efter jämförelser med norska mörkertalsundersökningar. Se 2014 Mørketallsundersøkelsen Informasjonssikkerhet, personvern og datakriminalitet (http://www.nsr-org.no/moerketall/).

samhällsskydd och beredskap Konsekvensutredning 3 (5) Uppgifter om de bemyndiganden som myndighetens beslutanderätt grundar sig på Regeringen har genom förordning om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap (2015:xxx) gett MSB mandat att utfärda verkställighetsföreskrifter rörande obligatorisk it-incidentrapportering för statliga myndigheter. Uppgifter om vilka kostnadsmässiga och andra konsekvenser regleringen medför och en jämförelse av konsekvenserna för de övervägda regleringsalternativen Intern incidentrapportering är redan idag ett krav som följer av MSB:s föreskrifter MSBFS 2009:10 med tillhörande allmänna råd. Nu gäller därför som första steg att hitta former för att anpassa befintliga arbetsprocesser och rutiner för att även uppfylla kraven på itincidentrapportering till MSB. Vissa kostnader kan därmed uppstå, liksom kostnader vid eventuell anpassning av processer och rutiner för att underlätta användning av MSB:s tekniska gränssnitt för it-incidentrapportering. Dessa merkostnader bedöms bli förhållandevis låga. Särskilt då det inte är alla incidenter som ska rapporteras utan endast de som allvarligt kan påverka säkerheten hos myndigheten. Antalet it-incidenter som ska rapporteras till MSB jämfört med antalet internt rapporterade incidenter torde också bli förhållandevis lågt. MSB bedömer därför att myndigheternas merkostnader för att anpassa sina praktiska arbetsprocesser är begränsade. För de myndigheter som utkontrakterar sin informationsbehandling kan det uppstå vissa initiala kostnader i samband med att rutiner och processer behöver modifieras. Enligt de föreslagna föreskriftkraven ska myndigheten då säkerställa att it-incidenter kan rapporteras och att kompletterande uppgifter kan lämnas som om myndigheten utfört behandlingarna själv. Något krav på omförhandling av redan ingångna utkontrakteringsavtal ställs dock inte. Vid nya avtal behöver dock kravet på it-incidentrapportering beaktas. Föreskriftskravet att en rapport ska skickas inom 24 timmar efter att myndigheten upptäckt it-incidenten behöver också belysas vid ett resonemang om kostnader och konsekvenser. Regleringen ska inte tolkas som krav på ökad bemanning utan tidsfristen på 24 timmar räknas från den tidpunkt då myndigheten med stöd av sina egna interna processer och rutiner upptäcker incidenten. Vidare är den mängd information som ska lämnas inom 24 timmar samt anvisade kontaktvägar anpassade efter skyndsamhetskravet. Enligt MSB:s bedömning kommer därför inte heller detta krav föranleda att myndigheterna drabbas av ökade kostnader i någon större utsträckning.

samhällsskydd och beredskap Konsekvensutredning 4 (5) Bedömning av om regleringen överensstämmer med eller går utöver de skyldigheter som följer av Sveriges anslutning till Europeiska unionen Föreskrifterna om obligatorisk it-incidentrapportering är nationella. Inom EU pågår ett arbete med det så kallade NIS-direktivet. Direktivet innehåller bland annat krav på it-incidentrapportering. Ett införande av obligatorisk itincidentrapportering för statliga myndigheter bedöms enligt MSB vara en viktig förberedelse för att kunna hantera de krav som föreslås i NIS-direktivet. Bedömning av om särskilda hänsyn behöver tas när det gäller tidpunkten för ikraftträdande och om det finns behov av speciella informationsinsatser MSB gör bedömningen att det är av vikt att föreskrifterna som närmare reglerar vad, när och hur it-incidenter ska rapporteras träder i kraft i anslutning till den tidpunkt som obligatoriet införs på förordningsnivå. Detta för att det redan från början ska vara tydligt för de statliga myndigheterna vad som ska rapporteras och hur. MSB kommer dock att säkerställa att inrapporteringsförfarandet görs så enkelt som möjligt för berörda myndigheter vilket innebär att några anpassningar av arbetssätt och tekniska gränssnitt hos myndigheterna inte ska vara en förutsättning för att rapporter ska kunna lämnas in. Detta innebär i förlängningen att det inte torde finnas något behov av övergångsbestämmelser. Föreskrifterna kan därför börja gälla i sin helhet när de träder ikraft. Ikraftträdandet av denna reglering förutsätter en särskild informationsinsats av MSB. Samtliga frågor, om exempelvis vad som ska rapporteras, kommer inte att kunna besvaras genom reglering. Därutöver gör MSB bedömningen att det är nödvändigt att presentera exempel på vad som ska rapporteras och hur det ska gå till, hur informationen hanteras hos MSB samt hur återkoppling av information ska ske och till vilka intressenter. Behovet av särskilda utbildningsinsatser och ytterligare informationsspridning kommer att bedömas löpande. En lämpligt utformad informationsinsats kan på ett effektivt sätt bidra till att beskriva syftet med rapporteringen och vikten av att både kunna begränsa konsekvenser och spridning av allvarliga it-incidenter samt bygga upp en samlad lägesbild när det gäller samhällets informationssäkerhet. B. Kommuner och landsting Markera med x (x) Regleringen bedöms inte få effekter för kommuner eller landsting. ( ) Regleringen bedöms få effekter för kommuner eller landsting.

samhällsskydd och beredskap Konsekvensutredning 5 (5) Beskrivning av effekter för kommuner eller landsting Föreskrifterna gäller endast statliga myndigheter. Kommuner och landsting har möjlighet att rapportera på samma sätt även om det inte finns sådan skyldighet idag. C. Företag Markera med x ( x ) Regleringen bedöms inte få effekter av betydelse för företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt. Konsekvensutredningen innehåller därför inte någon beskrivning av punkterna i avsnitt C. ( ) Regleringen bedöms få effekter av betydelse för företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt. Konsekvensutredningen innehåller därför en beskrivning av punkterna i avsnitt C. Föreskrifterna gäller endast statliga myndigheter. MSB ser det som positivt att företag rapporterar på samma sätt även om det inte finns någon sådan skyldighet idag. D. Samråd Beskrivning av ett eventuellt tidigt samråd MSB fick av regeringen i uppdrag, Fö2012/717/SSK, att 2012 presentera ett förslag på ett system för it-incidentrapportering för statliga myndigheter, Nationellt system för it-incidentrapportering dnr 2012-2637. Vid utformningen av denna uppdragsredovisning (vilken även inkluderade föreskriftsförslag) inrättade MSB två olika externa grupper som stöd för arbetet; en arbetsgrupp bestående av representanter för MSB, Säkerhetspolisen och dåvarande Rikskriminalpolisen, samt en bredare referensgrupp till vilken samtliga av regeringen för uppdragsarbetet utpekade aktörer bjöds in. Uppdragsredovisningens föreskriftsförslag ligger till grund för det nu framtagna förslaget till föreskrifter. E. Kontaktpersoner Ange vem som kan kontaktas vid eventuella frågor Kontaktperson vid frågor om konsekvensutredningen och de nya föreskrifterna om krav på statliga myndigheters rapportering av it-incidenter är Ingela Darhammar Hellström som lämpligast nås på ingela.d.hellstrom@msb.se, 010-240 42 68 alternativt 072-233 62 81 eller Helena Andersson som nås på helena.andersson@msb.se, 010-240 41 33 eller 073-025 11 33.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss