Rapportering av sikkerhetshendelser
Tilbydere av elektroniske tillitstjenester skal rapportere sikkerhetshendelser som vurderes til å ha betydelig påvirkning av tjenestene de leverer.
Nkom skal varsles så raskt som mulig etter at en sikkerhetshendelse har skjedd, og senest 24 timer etter tilbyder har blitt oppmerksom på hendelsen.
En sikkerhetshendelse er ethvert sikkerhetsbrudd, tap av integritet eller tilgjengelighet som påvirker tillitstjenesten, eller personopplysninger som oppbevares i forbindelse med leveranse av tillitstjenesten. En “all-hazard” tilnærming blir brukt, hvor enhver hendelse som kan tenkes å påvirke tillitstjenesten eller personopplysninger, blir klassifisert som en sikkerhetshendelse.
Hvem skal varsle?
Kvalifiserte og ikke-kvalifiserte tilbydere av tillitstjenester.
Når skal det varsles?
Det skal varsles så raskt som mulig etter at en sikkerhetshendelse har skjedd og senest 24 timer etter at tilbyder er blitt oppmerksom på hendelsen.
Hvilke sikkerhetshendelser skal varsles?
Alle sikkerhetshendelser som tilbyder av tillitstjenester vurderer til å ha betydelig påvirkning på tillitstjenester eller personopplysninger skal varsles/rapporteres.
Tilbydere av tillitstjenester skal kun rapportere sikkerhetshendelser som omfatter systemer eller prosesser som er under tilbyders kontroll.
I de tilfeller hvor kjernefunksjonalitet blir ivaretatt av en tredjepart, er tilbyder av tillitstjenester ansvarlig for å varsle om sikkerhetshendelser som forekommer i tredjeparts systemer eller prosedyrer.
For å vurdere hvorvidt en sikkerhetshendelse har betydelig påvirkning på tillitstjenester eller personopplysninger, brukes skalaen som er vist i tabellen nedenfor.
Sikkerhetshendelser som er av alvorlighetsgrad 3 eller høyere, skal varsles.
Alvorlighetsgrad og omfang:
- Ingen påvirkning
- Ubetydelig påvirkning: Tilbyders ressurser er berørt men ingen påvirkning på tjenestene
- Betydelig påvirkning: Mindre andel av kunder/tjenester er berørt
- Stor påvirkning: Stor andel av kunder/tjenester er berørt
- Katastrofe: Hele organisasjonen og alle kunder/tjenester er berørt
En sikkerhetshendelse som kun omfatter en enkelt kunde skal i utgangspunktet ikke varsles. Unntakene for dette er som følger:
- Dersom det oppstår et større antall enkelthendelser med utspring i, eller som kan relateres til samme årsak.
- Dersom sikkerhetshendelsen avdekker en sårbarhet som potensielt kan føre til at et større antall kunder kan bli berørt.
- Dersom hendelsen omfatter kunder med samfunnskritiske funksjoner eller andre tilbyderes tjenester.
I tillegg skal tilbydere underrette de fysiske og juridiske personer som hendelsen har hatt negativ innvirkning på.
Dersom man vurderer at sikkerhetshendelsen eller integritetstapet har offentlig interesse skal Nkom informere offentligheten. Nkom kan også kreve at tilbyder informerer offentligheten om hendelsen.
Hendelsen skal rapporteres til Nkom, og i noen tilfeller skal det også rapporteres til Datatilsynet.
Hva skal et varsel om en sikkerhetshendelse inneholde?
Varslet til Nkom skal inneholde følgende informasjon, så langt det er kjent:
- Når hendelsen oppstod
- Når hendelsen ble oppdaget
- Navn på tillitstjenestetilbyder som er rammet
- Kontaktperson hos tilbyder (telefon og epost)
- Kortfattet beskrivelse av tillitstjenester som er rammet
- Beskrivelse av eventuell persondata som er berørt
- Kortfattet beskrivelse av hendelsen
- Kortfattet beskrivelse av omfang
- Kortfattet beskrivelse av årsak
- Varighet før hendelsen forventet mitigiert
- Mottiltak som er foretatt eller planlagt iverksatt
- En indikasjon på hvorvidt utenlandske kunder er berørt
Hvordan skal det varsles?
Varselet sendes ved å logge inn på Altinn og fylle ut skjema for varsling til Nkom av en sikkerhetshendelse for tillitstjenester.
Det er også mulig å kontakte Nkoms beredskapsvakt på 22 33 17 00 dersom det er spørsmål til rapporteringen.
Hva gjør Nkom med varselet?
Tidlig varsling til myndighetene om alvorlige hendelser innen tillitstjenester anses som svært viktig. Dette er for å kunne koordinere tiltak samt styre informasjonsflyten mellom de som er involvert i og omfattet av hendelsen samt ivareta de plikter som er omfattet av det europeiske samarbeidet innen tillitstjenester.
Varsler er også viktig for å kunne identifisere trender og kampanjer innen trusler og hendelser som omfatter sektoren.
Nkom skal gi et sammendrag av rapporterte hendelser til EUs Byrå for nettverk og informasjonssikkerhet (ENISA).
Eksterne lenker
Security framework for Trust Service Providers - Technical guidelines on trust services
Relaterte
Skjemaer
Roller i Altinn (e-skjema)
Om du skal søke på vegne av en virksomhet, husk å velge riktig aktør før du fyller ut skjema. Om du ikke har en rolle for din virksomhet, må du få noen som har tilgangsrettighet til å delegere den til deg før du benytter skjemaet. Rollen som benyttes er "Utfyller/innsender".
Les mer om roller og rettigheter: