Vilka incidenter ska rapporteras?
Endast betydande incidenter ska rapporteras till MSB/CSIRT. En incident räknas som betydande om den:
- Orsakat eller kan orsaka allvarlig driftsstörning eller ekonomisk förlust.
- Påverkat eller kan påverka andra fysiska eller juridiska personer genom betydande materiell eller immateriell skada.
Tidsramar – så här ser processen ut
Inom 24 timmar – Tidig varning (Early warning)
Kort notifiering till CSIRT med en första indikation om incidenten är orsakad av en illegal eller skadlig handling, eller kan ha gränsöverskridande effekter.
Inom 72 timmar – Incidentanmälan
Uppdatering med första bedömning av incidenten, allvarlighetsgrad, påverkan och eventuella indikatorer på intrång (IoC).
På begäran – Statusrapport
CSIRT kan begära en lägesrapport under händelsens gång.
Inom 1 månad – Slutrapport
Detaljerad beskrivning av incidenten, dess allvar och påverkan, hotaktör, vidtagna och pågående åtgärder.
Vad bör finnas i incidentprocessen?
- Tydlig roll- och ansvarsfördelning (IR-team, kommunikation, ledning).
- Klassificeringsmodell för incidenter (allvarlig / betydande / mindre).
- Mallar för 24h/72h/1m-rapporter till MSB.
- Loggning, bevissäkring och spårbarhet.
- Övning av incident drills minst en gång per år.