Varsling og rapportering om hendelser i ekomnett
Tilbydere har plikt til å varsle Nkom snarest mulig om hendelser som vesentlig kan påvirke, eller har påvirket tilgjengeligheten til de elektroniske kommunikasjonstjenester (ekomtjenester) de leverer. Tilbyder har også plikt til å varsle hendelser som kan ramme konfidensialiteten og integriteten i elektronisk kommunikasjon.
Hvem skal varsle Nkom?
Alle tilbydere av ekomnett og -tjenester etter ekomloven har plikt til å varsle Nkom, jf. ekomloven § 3-3 og ekomforskriften § 2-8.
Når skal Nkom varsles?
Brudd på tilgjengelighet
Nkom skal varsles umiddelbart og senest innen en halv time etter at tilbyder er blitt kjent med en sikkerhetshendelse som har medført vesentlig brudd på tilgjengelighet i elektroniske kommunikasjonsnett eller -tjeneste.
Nkom skal varsles umiddelbart etter at tilbyder er blitt kjent med en sikkerhetshendelse som kan medføre vesentlig brudd på tilgjengelighet i elektroniske kommunikasjonsnett eller -tjeneste.
Det skal alltid varsles dersom:
-
Det er ustabilitet eller bortfall av mer enn halvparten av kundene eller basestasjonene i en kommune.
-
Det er ustabilitet eller bortfall av mer enn halvparten av kundene eller basestasjonene i tettsteder med mer enn 20 000 innbyggere.
-
Det er ustabilitet eller bortfall av mer enn ti prosent av kundene eller basestasjonene på landsbasis.
-
Det er ustabilitet eller bortfall for brukere med ansvar for liv og helse, eller i situasjoner som innebærer høy risiko for tap av liv og helse.
Andre sikkerhetshendelser
Nkom skal uten ugrunnet opphold varsle om sikkerhetshendelser som har medført vesentlig brudd på autentisitet, integritet eller konfidensialitet i elektroniske kommunikasjonsnett eller -tjenester.
Vurdering av vesentlig sikkerhetshendelse
Ved vurderingen av om en sikkerhetshendelse er vesentlig, skal det legges vekt på:
-
antall brukere som er berørt,
-
varighet,
-
geografisk omfang,
-
hvilke funksjoner i elektroniske kommunikasjonsnett og -tjenester som er berørt,
-
økonomisk og samfunnsmessig betydning.
Oppdatert varsel underveis
Tilbyder må sende oppdatert varsel dersom det skjer vesentlige endringer underveis i hendelsen, og når hendelsen er normalisert.
Hva skal varselet til Nkom inneholde?
Varslet skal som et minimum inneholde følgende informasjon så langt det er kjent:
-
Kort beskrivelse av hendelsen
-
Når hendelsen oppsto
-
Hvilke ekomtjenester som er rammet
-
Årsak
-
Kortfattet beskrivelse av omfang, herunder geografisk omfang, berørte kunder, samfunnsviktige funksjoner, og om liv og helse er eller kan være rammet.
-
Tiltak for å stoppe og utbedre skadene.
-
Varighet før hendelsen er forventet normalisert (estimert rettetid).
-
Kontaktperson hos tilbyder (telefon og e-post)
Hvordan skal det varsles?
Varselet skal sendes til ekomvarsling@nkom.no.
Det er også mulig å kontakte Nkoms beredskapsvakt på telefon 22 33 17 00.
Hva gjør Nkom med varselet?
Nkom har beredskapsvakt 24/7 som mottar og vurderer alle varsler. Ut fra en vurdering av situasjonen vil Nkom enten ta varselet til orientering, eller følge opp hendelsen videre.
Nkom tar kontakt med oppgitt kontaktperson hos tilbyder dersom vi ser behov for å følge opp hendelsen underveis, eller dersom vi i etterkant av hendelsen ønsker å undersøke hendelsen nærmere.
Nkom skal varsles for å kunne koordinere tiltak og styre informasjonsflyten mellom de som er omfattet av hendelsen.
Når skal abonnent eller bruker varsles?
Særlig risiko for sikkerhetshendelse
Tilbyder skal uten ugrunnet opphold varsle abonnent eller bruker dersom det foreligger særlig risiko for sikkerhetshendelse i offentlige elektroniske kommunikasjonsnett eller -tjenester, og skal informere om eventuelle vernetiltak eller avhjelpende tiltak som abonnent eller bruker kan treffe. Dersom det er hensiktsmessig, skal tilbyderen også informere om selve trusselen.
Sikkerhetsbrudd
Tilbyder skal uten ugrunnet opphold varsle abonnent eller bruker om sikkerhetsbrudd som har hatt eller vil kunne ha en negativ effekt på kommunikasjonsvernet eller personvernet til abonnenten eller brukeren. Varslingsplikten gjelder ikke dersom tilbyderen har dokumentert overfor Nkom at tilfredsstillende tekniske beskyttelsestiltak er gjennomført for dataene som er omfattet av sikkerhetsbruddet.
Planlagt bortfall
Tilbyder skal varsle kunder før planlagt bortfall av elektroniske kommunikasjonsnett og -tjenester på grunn av vedlikehold eller oppgraderinger, se ekomforskriften § 4-17.
Nærmere om varslingsprosedyrene
Det er tilbyders ansvar å vurdere hendelser og avgjøre når Nkom og brukere skal varsles. Tilbyder må sørge for å utarbeide interne rutiner som beskriver når varsling skal iverksettes. Nkom kan veilede tilbyder i forbindelse med utarbeidelse av varslingsrutiner.
Varsling til Nkom skal uansett iverksettes når tilbyder vurderer at hendelsen er av en slik alvorlighetsgrad at den kan påvirke tjenesteleveransen til samfunnsviktige funksjoner eller andre tilbyderes tjenestekvalitet.
Hendelsesrapporter
Etter en hendelse kan Nkom kreve utfyllende hendelsesrapporter for å undersøke hendelsen nærmere. Nkom kan også kreve hendelsesrapporter ved hendelser der tilbyder selv ikke vurderte at varsling var nødvendig.
Mal for hendelsesrapport til Nkom
Denne malen skal benyttes når Nkom anmoder om hendelsesrapport for å følge opp en hendelse. Nkom vil gi oppgi tidsfrist for når rapporten skal være Nkom i hende.
Hvordan sendes hendelsesrapporten?
Rapporten oversendes via e-post til ekomvarsling@nkom.no.
Hva skal hendelsesrapporten inneholde?
Beskrivelse av selve hendelsen og foranledningen til den
- Hvor skjedde hendelsen?
- Når skjedde hendelsen?
- Når ble hendelsen oppdaget?
- Hvordan ble hendelsen detektert /rapportert?
- Hva var årsak til hendelsen (eventuelt antatt årsak, og hvilke tiltak som eventuelt er iverksatt for å identifisere årsak)?
Direkte konsekvenser av hendelsen
- Teknisk skadeomfang, både direkte skader og følgeskader.
- Svikt i / utfall av tjenesteleveranse til egne sluttkunder og andre tilbydere.
- Informasjon om hvilke tjenester som er omfattet
- Beskrivelse av geografisk kundeområde som er berørt
- Informasjon om samfunnsviktige brukere ble rammet, som eksempelvis sykehus og konkret hvilke institusjoner dette gjelder
- Om liv og helse ble rammet
- Økonomisk og samfunnsmessig betydning
- Informasjon om varighet mellom bortfall av tjeneste og når tjenesten ble regnet som tilgjengelig igjen for sluttkunder og andre tilbydere
Skadeforebyggende tiltak
- Eventuelle tiltak iverksatt for å forhindre/redusere antallet slike hendelser for senere.
- Informasjon om mulige reduserte skader og/eller konsekvenser ved denne type tiltak.
Skadereduserende tiltak
- Tiltak iverksatt for å redusere skadekonsekvensene av hendelsen etter at den var detektert. Beskrivelse av tiltak, tidspunkt for iverksettelse, hvem iverksatte tiltaket, hvilke resultater ga tiltaket.
- Varsling til myndigheter, egne kunder og andre tilbydere. Når, til hvilken funksjon, informasjon formidlet og type varslingsmedium benyttet.
- Ble myndighetsfinansiert utstyr benyttet til å håndtere hendelsen?
- I tilfelle JA; Gi en kortfattet beskrivelse av hvilket utstyr og geografisk plassering.
Hva var erfaringen knyttet til bruken av utstyret?
- I tilfelle JA; Gi en kortfattet beskrivelse av hvilket utstyr og geografisk plassering.
Utbedring/reparasjon
- Tiltak iverksatt for å utbedre skade(r).
- Tidsplan for gjennomføring av tiltak.
- Tidspunkt for normalsituasjon.
Erfaringer og vurderinger
- Hva kunne vært gjort annerledes i forkant og under håndtering av hendelsen? Vurder dette i forhold til eksisterende/manglende rutiner/tiltak og eventuelt avvik fra rutiner.
- Hvis skadeforebyggende og skadereduserende tiltak ikke hadde fungert, hvilke konsekvenser ville dette hatt for skadeomfanget (teknisk og svikt/utfall av tjenesteleveranse) ved hendelsen?
- Hva kan gjøres for å eliminere/redusere faren for gjentagelse av hendelsen?
- Hva kan gjøres for å eliminere/redusere eventuelle skader (antall/omfang)?
Kontaktperson
- Kontaktperson hos tilbyder (telefon og e-post) for eventuell oppfølging