Påminnelse om att rapportera IT-incidenter

Dricksvattenproducenter som omfattas av NIS-lagen ska rapportera incidenter som kan påverka säkerheten i informationssystem och nätverk som används vid leverans av dricksvatten. Rapportering sker till CERT:se hos MSB, och rapporterna vidareförmedlas sedan till Livsmedelsverket. Rapporterna ger en möjlighet för myndigheter att analysera eventuella trender och sprida information om behov av åtgärder.

Vilka incidenter ska rapporteras?

Incidentrapportering är lagstadgat och ska ske inom sex timmar från det att incidenten identifierats som rapporteringspliktig. De incidenter som ska rapporteras är sådana som:

• pågått i minst två timmar,
• kan antas ha påverkat minst 2000 personer eller ett akutsjukhus,
• eller påverkat styrning och övervakning av tjänsten.

Kriterier för vilka incidenter som ska rapporteras finns beskrivna i MSB:s föreskrifter om rapportering av incidenter (MSBFS 2018:9), men en generell utgångspunkt är att alla it-incidenter som krävt användning av avvikande rutiner (rondering, manuella kontroller etc.) kan vara rapporteringspliktiga.  

Läs mer om NIS-lagen och incidentrapportering på Livsmedelsverkets webbplats samt hos MSB genom att följa länkarna nedan.

IT- och informationssäkerhet för dricksvattenleverantörer

Rapportera it-incident som NIS-leverantör (MSB)

MSB Föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av samhällsviktiga tjänster (MSBFS 2018:9)